Гульні на github - гульні без блакіроўкі на github - гульні на github io

Гульні GitHub з PreBuild Malware? Гэта здараецца

Уводзіны: Рост папулярнасці гульняў на GitHub і рызыкі, якія стаяць за гэтай забавай

Калі вы калі-небудзь шукалі Гульні на GitHub, вы, напэўна, сутыкаліся з усім: ад браўзерных шутэраў да рэтра-клонаў, створаных з дапамогай JavaScript або Python. Гэтыя праекты цікава паспрабаваць, лёгка запускаць, і яны часта з'яўляюцца ў відэаўроках або на форумах YouTube. У выніку яны сталі асабліва папулярнымі ў школах, дзе распрацоўшчыкі і студэнты часта атрымліваюць да іх доступ праз Гульні, якія не былі разблакіраваны на GitHub або адгалінавацца ад іх Гульні GitHub для IO старонак.

З-за гэтай папулярнасці распрацоўшчыкі і студэнты клануюць гэтыя рэпазітарыі, запускаюць код і працягваюць працаваць без асаблівых роздумаў. Але вось у чым праблема: не ўсе гэтыя гульні такія, якімі здаюцца.

Некаторыя рэпазітары гульняў выкарыстоўваюць падазроныя скрыпты ўсталёўкі. Іншыя зацягваюць састарэлыя або ўразлівыя залежнасці. Некаторыя нават хаваюць шкоднаснае праграмнае забеспячэнне ўнутры рэсурсаў, кантэйнераў або файлаў разгортвання. Паколькі многія распрацоўшчыкі размяшчаюць гэтыя праекты праз Гульні GitHub для IO, рызыка распаўсюджваецца хутка і часта застаецца незаўважанай.

У гэтай публікацыі мы разгледзім, як рэпазітары гульняў могуць стаць сур'ёзнай пагрозай бяспецы. Мы таксама пакажам вам, як заставацца ў бяспецы, не губляючы сваёй цікаўнасці ці... CI/CD.

Чаму зламыснікі атакуюць гульні GitHub і разблакаваныя рэпазіторыі

На першы погляд, рэпазітары гульняў на GitHub здаюцца бяскрыўднымі. У рэшце рэшт, гэта часта невялікія эксперыменты або адукацыйныя праекты, створаныя дзеля забавы. Аднак зламыснікі бачаць у іх інакш. Насамрэч, многія такія... рэпазіторыі выкарыстоўваюцца як платформы для распаўсюджвання шкоднасных праграм, часта маскіруючыся пад Гульні на GitHub or разблакіраваныя гульні на github.

Напрыклад, вядомы як зламыснік Гоблін-зоркагляд кіруе сеткай з больш чым 3,000 фіктыўных акаўнтаў GitHub, якая атрымала назву «Сетка прывідаў зорак». Гэтая група наўмысна публікуе шкоднасныя рэпазітарыі, стварае форкі і сочыць за імі, каб павысіць сваю бачнасць і легітымнасць, звычайна нацэльваючыся на карыстальнікаў, якія шукаюць інструменты або гульнявыя чыты. Гэтыя рэпазітарыі выкарыстоўваліся для распаўсюджвання праграм-выкрадальнікаў інфармацыі і праграм-вымагальнікаў, такіх як Atlantida Stealer, Rhadamanthys, Lumma Stealer і RedLine. 

Акрамя таго, яшчэ адна складаная кампанія пад назвай Праклён вады узброіў прынамсі 76 акаўнтаў GitHub, убудоўваючы шматступенчатае шкоднаснае праграмнае забеспячэнне ў тое, што здаецца легітымнымі інструментамі. Карысныя нагрузкі схаваны ў файлах праекта Visual Studio (PreBuildEvent), разгортваючы заблытаныя скрыпты і двайковыя файлы на аснове Electron для крадзяжу ўліковых дадзеных, здабывання дадзеных з браўзера і доўгатэрміновага захоўвання. Сярод мішэняў - распрацоўшчыкі, каманды DevOps і стваральнікі гульняў. 

Зламыснікі карыстаюцца тым, што многія распрацоўшчыкі клануюць гульні на GitHub, каб тэставаць іх або вучыцца на іх, не правяраючы код. Падобным чынам, гульні на GitHub IO, рэпазіторыі, якія размяшчаюцца праз GitHub Pages, могуць размяшчаць шкоднасны JavaScript, выявы або скрыпты перанакіравання, якія выконваюцца пры загрузцы ў браўзеры. Паколькі многія гульні на GitHub IO разгаліноўваюцца і выкарыстоўваюцца паўторна без глыбокай праверкі, зламыснікі выкарыстоўваюць іх для кантрабанды заблытанага кода, схаваных трэкераў або трыгераў загрузкі. Гэтая тактыка выкарыстоўвае давер распрацоўшчыкаў да праектаў з адкрытым зыходным кодам.

Карацей кажучы, папулярнасць рэпазітараў гульняў і праектаў з неблакіраванай гульнёй робіць іх урадлівай глебай для зламыснікаў. Без належнай праверкі цікаўны распрацоўшчык можа ўкараніць шкоднаснае праграмнае забеспячэнне ў сваё асяроддзе, проста кланаваўшы або размясціўшы рэпазітар гульні.

Хочаце абараніць усе свае праекты на GitHub?

Калі вы шукаеце спосабы абараніць свае рэпазітары GitHub па-за межамі гульнявых модаў, не прапусціце наш падрабязны пост пра дазволы. pull requests, CI/CD інтэграцыя і многае іншае.

Прачытанае па тэме:

Шаблоны шкоднасных праграм у разблакіраваных гульнях GitHub і гульнях GitHub IO

Калі распрацоўшчыкі даследуюць праекты з пазнакай github unblocked gamesмногія здаюцца бяскрыўднымі. Аднак некалькі паўтаральных заканамернасцей сведчаць пра сур'ёзныя пагрозы, якія можна лёгка прапусціць.

Кампанія: Праклён вады

Trend Micro раскрыла кампанію пад назвай Праклён вады, у якім прынамсі 76 акаўнтаў GitHub размяшчалі рэпазітарыі з узброенымі сродкамі, якія маскіруюцца пад інструменты распрацоўшчыка або гульнявыя моды. Гэтыя рэпазітары ўбудоўвалі шкоднасныя карысныя нагрузкі з дапамогай <PreBuildEvent> тэгі ў файлах праектаў Visual Studio. Падчас зборкі абфускаваныя скрыпты PowerShell або VBS спампоўваюць зашыфраваныя ZIP-архівы, усталёўваюць двайковыя файлы на аснове Electron і выкрадаюць уліковыя дадзеныя, дадзеныя браўзера і токены сеансаў. Шкоднаснае праграмнае забеспячэнне таксама рэалізуе захаванасць праз запланаваныя задачы і змены ў рэестры.

Псеўдакод у гульнях GitHub: крук

<PropertyGroup>   <PreBuildEvent>     powershell -NoProfile -ExecutionPolicy Bypass -WindowStyle Hidden -Command "download ZIP from GitHub → extract payload → run installer"   </PreBuildEvent> </PropertyGroup> 

Псеўдакод: заблытанае выкананне PowerShell

# decode base64 payload payload = decode_base64('...')  # run in memory execute_in_memory(payload) 

Гэты спрошчаны прыклад паказвае, як шкоднасны код пазбягае запісу на дыск, дэкадуючы і выконваючы яго непасрэдна ў памяці.

Кампанія: Праклён вады

Trend Micro выявіла пагрозлівую аперацыю, вядомую як Праклён вады, дзе зламыснікі выкарыстоўвалі прынамсі 76 акаўнтаў GitHub для размяшчэння рэпазіторыяў зброі. Гэтыя праекты выглядалі як інструменты распрацоўшчыка або гульнявыя моды. Унутры яны ўбудоўвалі шкоднасную логіку ў файлы зборкі, асабліва праз <PreBuildEvent> тэг у Visual Studio .csproj файлы.

Карысная нагрузка ўключала шматэтапныя скрыпты, якія спампоўвалі зашыфраваныя ZIP-архівы, распакоўвалі файлы і запускалі бэкдоры. Акрамя таго, зламыснікі дадавалі механізмы захоўвання дадзеных, выкарыстоўваючы рэдагаванне рэестра Windows і запланаваныя задачы.

Прыклад псеўдакода: перахопнік зборкі Visual Studio

<PropertyGroup>   <PreBuildEvent>     powershell -Command "download ZIP from GitHub, extract payload, and run installer"   </PreBuildEvent> </PropertyGroup>

Псеўдакод: выкананне ў памяці праз PowerShell

# Decode and run base64 payload in memory payload = decode_base64('...') execute_in_memory(payload) 

Гэты метад дазваляе пазбегнуць запісу на дыск, што дапамагае зламыснікам абыйсці выяўленне антывірусам і атрымаць незаўважанасць.

Кампанія: Акаўнты гоблінаў-зоркаглядчыкаў і прывідаў

Яшчэ адзін маштабны напад быў задакументаваны Check Point Research, які паказаў, што Сетка прывідаў зоркаглядаўГэтая кампанія выкарыстала больш за 3,000 фальшывых акаўнтаў GitHub раздзімаць зоркі, форкі і назіральнікі ў шкоднасных рэпазіторыях. Мэтай было стварыць ілжывае пачуццё легітымнасці.

Гэтыя фантомныя акаўнты дапамагалі распаўсюджваць шкоднасныя праграмы, такія як Атлантычны выкрадальнік, Ламма, Радамантыс, і Чырвоная лінія, у асноўным накіраваных на распрацоўшчыкаў і геймераў. Усяго за чатыры дні адна хваля атакі заразіла больш за 1,300 ахвяр распаўсюджваючы мадыфікаваныя пакеты гульнявых модаў праз спасылкі Discord і README.

Прыклад псеўдакода: шкоднасны README

# Ultimate Game Mod Pack 🕹️ Download and run the installer here: [Download Now](https://github[dot]com/ghost/repo/releases/latest/modpack.zip)  

Распаўсюджаныя шаблоны шкоднасных праграм у рэпазіторыях гульняў GitHub

шаблон Description
Папярэдняя ўстаноўка / Скрыпты зборкі Скрыпты, якія запускаюцца аўтаматычна падчас усталёўкі або зборкі для атрымання і выканання аддаленых карысных нагрузак, часта без ведама карыстальніка.
Тыпасквотынг і фальшывыя відэльцы Шкоднасныя праекты, якія імітуюць назвы або структуру папулярных інструментаў або рэпазітараў гульняў, каб падмануць распрацоўшчыкаў і прымусіць іх усталяваць іх.
Злоўжыванне старонкамі GitHub JavaScript, выявы або перанакіраванні, схаваныя на старонках `github io games`, якія запускаюць выкананне шкоднасных скрыптоў пры загрузцы старонкі.
Фальшывыя сігналы папулярнасці Прывідныя акаўнты штучна завышаюць зоркі, віды і назіральнікі, каб шкоднасныя рэпазіторыі выглядалі надзейнымі.

Гэтыя метады не тэарэтычныя. Яны ўжо назіраліся ў рэальных умовах. кампаніі па распаўсюджванні шкоднасных праграм, многія з якіх былі накіраваны на распрацоўшчыкаў, якія выкарыстоўваюць рэпазітары гульняў у якасці кропак уваходу.

На шчасце, некаторыя платформы бяспекі могуць выяўляць гэтыя заканамернасці, перш чым яны прычыняць шкоду. У наступным раздзеле мы пакажам, як Xygeni выяўляе, блакуе і ліквідуе гэтыя пагрозы ў вашай сістэме. SDLC.

Як Xygeni абараняе гульні GitHub, разблакіраваныя праекты і CI/CD Pipelines

Калі ў рэпазітарах гульняў GitHub узнікаюць рызыкоўныя шаблоны, Xygeni забяспечвае паўнавартасную абарону, каб спыніць пагрозы, перш чым яны паставяць пад пагрозу вашы сістэмы або ланцужок паставак.

1. Ранняе папярэджанне: выяўленне шкоднасных праграм у рэжыме рэальнага часу ў гульнях і залежнасцях GitHub

Ксігені пастаянна скануе новыя пакеты ў NPM, Maven, PyPI і іншых. Гэта ўключае пакеты, убудаваныя ў нечаканыя месцы, такія як рэпазіторыі гульняў або неразблакаваныя гульнявыя праекты github, якія абагульваюцца на форумах або ў школьных сетках. Калі выяўляецца падазроны кампанент, Xygeni аўтаматычна змяшчае яго ў каранцін, блакуе яго выкарыстанне ў вашых залежнасцях і адпраўляе папярэджанні ў рэжыме рэальнага часу вашай камандзе. Гэта прадухіляе трапленне шкоднасных карысных нагрузак у вашу кодавую базу або CI/CD pipeline.

2. Улічваючы дасяжнасць SCA з інтэлектуальнай прыярытэтызацыяй

Замест таго, каб перагружаць сваю каманду абвесткамі, Ксігені ацэньвае, ці сапраўды выкарыстоўваецца ўразлівасць у вашым кодзе (дасяжнасць) і ўключае ацэнку рызыкі (ЭПСС, уплыў на бізнес), каб выявіць найбольш крытычныя праблемы. Гэта значна зніжае ўзровень шуму і гарантуе, што ваша каманда будзе дзейнічаць у тым, што сапраўды важна.

3. Аўтаматызаванае выпраўленне з выкарыстаннем Pull Requests

Калі выяўляецца ўразлівасць або шкоднасная залежнасць з вядомым выпраўленнем, Xygeni аўтаматычна стварае Pull Request абнавіць або выправіць праблему. Гэта паскарае час рэагавання, абмяжоўвае ручную працу і захоўвае вашу pipeline надзейна.

4. CI/CD Элементы бяспекі для блакавання шкоднасных зборак

Xygeni інтэгруецца са зборкай pipelineпраз GitHub Actions, Jenkins, GitLab, Azure Pipelines і іншыя. Ён скануе скрыпты зборкі, Dockerfile і CI/CD канфігурацыі для падазроных каманд, такіх як зваротныя абалонкі або ўсталявальныя скрыпты, і могуць блакаваць зборкі, калі выяўлены небяспечны код.

5. Пабудуйце сумленнасць з дапамогай атэстацыі, якая адпавядае SLSA

,en Build Security Модуль стварае падпісаныя атэстацыі ў адпаведнасці са стандартамі SLSA і in-toto standardс, убудаванне метададзеных у крыніцу, залежнасці, SBOMі тэсты. Калі адбываюцца якія-небудзь несанкцыянаваныя змены, праверка атэстацыі не праходзіць, і pipeline спыняецца аўтаматычна.

6. Выяўленне анамалій у SCM і артэфакты CI

Xygeni пастаянна кантралюе ваш зыходны код і асяроддзе неперасягненай інфраструктуры, каб выявіць незвычайную паводзіны, такую ​​як commitабыходзіць абарону галін, невядомых карыстальнікаў або нечаканыя гранты токенаў. У спалучэнні з яго SAST рухавік, ён ідэнтыфікуе схаваныя бэкдоры або уведзеныя скрыпты перад аб'яднаннем або разгортваннем.

7. Аўтаматызаванае выяўленне актываў і ASPM бачнасць

Xygeni будуе жывы інвентар усяго вашага SDLC экасістэма, у тым ліку рэпазіторыі, супрацоўнікі, pipeline, залежнасці і воблачная інфраструктура. Такая бачнасць дазваляе дынамічна прыярытызаваць рызыкі, ствараць карты адпаведнасці (напрыклад, NIS2, DORA) і атрымліваць доказы, гатовыя да аўдыту, без парушэння існуючых працоўных працэсаў.

Што азначаюць гульні GitHub для бяспечных распрацоўшчыкаў: заставайцеся цікаўнымі, будзьце ў бяспецы

  • Калі рэпазітар утрымлівае схаваны скрыпт зборкі, які загружае шкоднасны код (напрыклад, пост-ўсталёўвальны скрыпт PowerShell), Xygeni пазначыць і заблакуе яго перад выкананнем.
  • Пры аб'яднанні кода, які спасылаецца на падазроную залежнасць, Xygeni блакуе яе і прапануе аўтаматычнае выпраўленне праз Pull Request.
  • Калі праект, размешчаны на GitHub Pages, утрымлівае схаваныя шкоднасныя скрыпты, Xygeni... SCA і выяўленне шкоднасных праграм ідэнтыфікуе іх, нават калі яны выконваюцца толькі падчас загрузкі старонкі.
  • Будаваць pipelineадхіліць commitкалі сабраныя артэфакты або канфігурацыі не праходзяць праверку атэстацыі, гэта перашкаджае ўзламаным зборкам дайсці да прадукцыйнай версіі.

З Xygeni вы можаце працягваць адкрываць і спрабаваць гульні на GitHub з упэўненасцю. Кожны крок, ад кланавання да разгортвання, абаронены. Распрацоўшчыкі застаюцца дапытлівымі, pipelineзаставацца ў бяспецы, а ваш ланцужок паставак — чыстым.

інструменты-для-аналізу-складання-праграмнага ...
Прыярытэзуйце, ліквідуйце і абараняйце свае праграмныя рызыкі
Атрымайце свой бясплатны рахунак.
Не патрабуецца крэдытная карта.

Забяспечце распрацоўку і пастаўку праграмнага забеспячэння

з пакетам прадуктаў Xygeni