Check Point Research 最近曝光了一个新的分发即服务 (DaaS) 网络，称为 Stargazers Ghost Network，该网络至少在一年前就在 GitHub 上传播恶意软件。由于这些账户也执行正常活动，因此用户并未意识到这些账户正在执行恶意活动小火箭解说奥斯卡最新。

　　这些幽灵账户针对的是那些想要增加 YouTube、Twitch 和 Instagram 粉丝的用户，通过 Discord 频道向 GitHub 存储库分发恶意链接。由于恶意链接指向已加星标和验证的内容，其他用户会认为这些存储库是合法的。然而，高星标数量让 Check Point 研究人员意识到这些账户很可疑。

　　“在短短的监控期内，我们发现了 2,200 多个发生‘幽灵’活动的恶意存储库。在 2024 年 1 月左右的一次活动中，该网络传播了 Atlantida 窃取程序，这是一个新的恶意软件家族，可窃取用户凭据和加密货币钱包以及其他个人身份信息 (PII)。这次活动非常有效，因为在不到四天的时间内，超过 1,300 名受害者感染了 Atlantida 窃取程序。”Check Point Research 报告中写道。

　　通过使用三个 GitHub 帐户协同工作，Stargazers Ghost Network 成功避开了 GitHub 的检测。当攻击者将包含钓鱼下载链接的 README.md 文件附加到外部存储库的发布版本时，攻击就开始了。

　　一个帐户提供钓鱼存储库模板，而另一个帐户提供钓鱼图像模板。然后，第三个帐户将恶意软件作为发布版本中受密码保护的存档提供，有时攻击就是在这里检测到的，然后第三个帐户被 GitHub 禁止。如果发生这种情况，攻击者就会使用第一个帐户中的新链接再次发起攻击。

　　研究人员还发现了该计划的另一部分——利用幽灵账户在暗网上赚钱。CheckPoint 估计，2024 年 5 月中旬至 6 月中旬的恶意活动为 Stargazers Ghost Network 带来了约 8,000 美元的收入。Check Point 估计，该计划在整个生命周期内带来了约 100,000 美元的收入。

　　2023 年 7 月 8 日，Terefos 团队发现 Stargazers Ghost Network 在暗网上发布了横幅广告。网络犯罪分子可以“雇佣”幽灵账户，获得 GitHub 上的各种服务，包括加星标、关注、分叉和关注账户和存储库。

　　这些服务的价格各不相同，例如加星标 100 个账户需 10 美元，而为受信任的账户提供“陈旧”存储库则需 2 美元。除了广告横幅，网络犯罪分子还使用了另一种典型的营销策略：折扣。在 Stargazers Ghost Network 上花费超过 500 美元的威胁行为者可以获得服务折扣。

　　Check Point 的研究人员认为，幽灵账户在许多其他平台上运作，包括 YouTube、Discord、Instagram 和 Facebook。由于这些渠道还可用于通过帖子、存储库、视频和推文分发链接和恶意软件，Check Point 认为这些账户的运作方式类似于 GitHub 计划，这意味着这很可能只是一种新策略的开始。

　　Check Point 报告总结道：“未来的幽灵账户可能会利用人工智能 (AI)模型来生成更具针对性和多样性的内容，从文本到图像和视频。通过考虑目标用户的回复，这些由人工智能驱动的账户不仅可以通过标准化模板来推广网络钓鱼材料，还可以通过针对真实用户的需求和互动量身定制的响应来推广网络钓鱼材料。恶意软件传播的新时代已经到来，我们预计这些类型的操作将更频繁地发生，这使得区分合法内容和恶意材料变得越来越困难。”