Sissejuhatus: GitHubi mängude tõus ja lõbu taga olevad riskid
Kui sa oled kunagi otsinud GitHubi mängud, olete tõenäoliselt kohanud kõike alates brauseripõhistest tulistamismängudest kuni JavaScripti või Pythoniga loodud retrokloonideni. Neid projekte on lõbus proovida, neid on lihtne käivitada ja need ilmuvad sageli YouTube'i õpetustes või foorumites. Seetõttu on need muutunud eriti populaarseks koolides, kus arendajad ja õpilased pääsevad neile sageli ligi läbi GitHubi blokeerimata mängud või haarake need ära GitHubi io-mängud lehekülge.
Selle populaarsuse tõttu kloonivad nii arendajad kui ka tudengid need repositooriumid, käivitavad koodi ja liiguvad edasi ilma pikemalt mõtlemata. Aga siin on probleem: kõik need mängud ei ole sellised, nagu nad paistavad.
Mõned mängurepositooriumid käitavad kahtlaseid installiskripte. Teised tõmbavad sisse aegunud või haavatavaid sõltuvusi. Mõned peidavad pahavara isegi varadesse, konteineritesse või juurutusfailidesse. Kuna paljud arendajad majutavad neid projekte läbi GitHubi io-mängud, levib risk kiiresti ja jääb sageli märkamatuks.
Selles postituses uurime, kuidas mängude repositooriumid võivad muutuda tõsiseks turvaohuks. Samuti näitame teile, kuidas jääda turvaliseks ilma oma uudishimust või turvalisusest loobumata. CI/CD.
Miks ründajad sihivad GitHubi mänge ja blokeerimata hoidlaid
Esmapilgul tunduvad GitHubi mängurepositooriumid kahjutud. Lõppude lõpuks on need sageli väikesed katsed või lõbu pärast loodud haridusprojektid. Ründajad näevad neid aga teisiti. Tegelikkuses on paljud sellised reposid kasutatakse pahavara edastamise platvormidena, sageli maskeerituna kui GitHubi mängud or Githubi blokeerimata mängud.
Näiteks ohutegija, keda tuntakse kui Tähevaatleja Goblin haldab üle 3,000 GitHubi kontot, mida nimetatakse „Stargazers Ghost Networkiks“. See rühmitus tähestab, forgib ja jälgib pahatahtlikke repositooriume teadlikult, et suurendada oma nähtavust ja legitiimsust, sihtides tavaliselt kasutajaid, kes otsivad tööriistu või mängupettusi. Neid repositooriume on kasutatud infovaraste ja lunavara, näiteks Atlantida Stealer, Rhadamanthys, Lumma Stealer ja RedLine, levitamiseks.
Lisaks veel üks keerukas kampaania nimega Vee needus on vähemalt relvastatud 76 GitHubi kontot, manustades mitmeastmelist pahavara näiliselt legitiimsetesse tööriistadesse. Kasulik koormus on peidetud Visual Studio projektifailidesse (PreBuildEvent), kasutades hägustatud skripte ja Electronil põhinevaid binaarfaile volituste varguseks, brauseriandmete ekstraheerimiseks ja pikaajaliseks säilitamiseks. Sihtmärkide hulka kuuluvad arendajad, DevOps meeskonnad ja mängude loojad.
Ründajad kasutavad ära asjaolu, et paljud arendajad kloonivad GitHubi mänge testimiseks või nendest õppimiseks ilma koodi üle vaatamata. Samamoodi võivad GitHubi lehtede kaudu pakutavad GitHubi IO mängud majutada pahatahtlikku JavaScripti, pilte või ümbersuunamisskripte, mis käivituvad brauseris laadimisel. Kuna paljud GitHubi IO mängud on kahendatud ja taaskasutatud ilma põhjaliku kontrollita, kasutavad ründajad neid hägustatud koodi, peidetud jälgijate või allalaadimise päästikute salakaubaveoks. Need taktikad kasutavad ära arendajate usaldust avatud lähtekoodiga projektide vastu.
Lühidalt öeldes muudab mängurepositooriumide ja blokeerimata mängimise projektide populaarsus need ründajatele viljakaks pinnaseks. Ilma korraliku taustakontrollita saab uudishimulik arendaja oma keskkonda pahavara tuua lihtsalt mängurepositooriumi kloonimise või majutamise teel.
Kas soovite kõiki oma GitHubi projekte kaitsta?
Kui mõtled, kuidas kaitsta oma GitHubi repositooriume peale mängu modifikatsioonide, siis ära jäta vahele meie põhjalikku postitust õiguste kohta. pull requests, CI/CD integratsioon ja palju muud.
Pahavara mustrid GitHubi blokeerimata mängudes ja GitHubi IO-mängudes
Kui arendajad uurivad projekte, mis on märgistatud kui github unblocked gamespaljud tunduvad kahjutud. Siiski näitavad mitmed korduvad mustrid tõsiseid ohte, mida on kerge märkamata jätta.
Kampaania: Vee needus
Trend Micro paljastas kampaania nimega Vee needus, milles vähemalt 76 GitHubi kontot majutatud relvastatud repositooriumid, mis maskeeruvad arendustööriistadeks või mängu modifikatsioonideks. Need repositooriumid manustavad pahatahtlikke koormusi, kasutades <PreBuildEvent> silte Visual Studio projektifailides. Ehituse käigus laadivad hägustatud PowerShelli või VBS-skriptid alla krüptitud ZIP-arhiive, installivad Electronil põhinevaid binaarfaile ning filtreerivad välja volikirju, brauseriandmeid ja seansi märke. Pahavara rakendab ka püsivust ajastatud ülesannete ja registrimuudatuste kaudu.
Pseudokood GitHubi mängudes: konks
<PropertyGroup> <PreBuildEvent> powershell -NoProfile -ExecutionPolicy Bypass -WindowStyle Hidden -Command "download ZIP from GitHub → extract payload → run installer" </PreBuildEvent> </PropertyGroup> Pseudokood: hägustatud PowerShelli täitmine
# decode base64 payload payload = decode_base64('...') # run in memory execute_in_memory(payload) See lihtsustatud näide demonstreerib, kuidas pahatahtlik kood väldib kettale kirjutamist, dekodeerides ja käivitades otse mälus.
Kampaania: Vee needus
Trend Micro tuvastas ohuoperatsiooni, mida tuntakse nime all Vee needus, kus ründajad kasutasid vähemalt 76 GitHubi kontot relvastatud hoidlate majutamiseks. Need projektid näisid olevat arendustööriistad või mängumodifikatsioonid. Sisemiselt manustasid nad ehitusfailidesse pahatahtlikku loogikat, eriti läbi <PreBuildEvent> silt Visual Studios .csproj faile.
Kasulikud koormused hõlmasid mitmeastmelisi skripte, mis laadisid alla krüpteeritud ZIP-faile, ekstraheerisid faile ja käivitasid tagauksi. Lisaks lisasid ründajad püsivusmehhanisme, kasutades Windowsi registrimuudatusi ja ajastatud ülesandeid.
Pseudokoodi näide: Visual Studio ehituskonks
<PropertyGroup> <PreBuildEvent> powershell -Command "download ZIP from GitHub, extract payload, and run installer" </PreBuildEvent> </PropertyGroup> Pseudokood: Mälusisene käivitamine PowerShelli kaudu
# Decode and run base64 payload in memory payload = decode_base64('...') execute_in_memory(payload) See tehnika väldib kettale kirjutamist, mis aitab ründajatel viirusetõrje tuvastamisest mööda hiilida ja varjatult tegutseda.
Kampaania: Tähevaatleja Goblini ja Ghosti kontod
Check Point Research dokumenteeris veel ühe ulatusliku rünnaku, mis paljastas, et Stargazers Ghost NetworkSee kampaania kasutas üle 3,000 võltsitud GitHubi kontot pahatahtlike repositooriumide tähtede, harude ja vaatlejate arvu suurendamiseks. Eesmärk oli luua vale legitiimsuse tunne.
Need varikontod aitasid levitada pahavara, näiteks Atlantida varastaja, luma, Rhadamanthysja Punane joon, mis on enamasti suunatud arendajatele ja mängijatele. Vaid nelja päevaga nakatas üks rünnakulaine rohkem kui 1,300 ohvreid levitades modifitseeritud mängu modifikatsioonide pakette Discordi ja README linkide kaudu.
Pseudokoodi näide: pahatahtlik README fail
# Ultimate Game Mod Pack 🕹️ Download and run the installer here: [Download Now](https://github[dot]com/ghost/repo/releases/latest/modpack.zip) GitHubi mängude hoidlates levinud pahavara mustrid
| Muster | Kirjeldus |
|---|---|
| Eelinstallimise / koostamise skriptid | Skriptid, mis käivituvad installimise või loomise ajal automaatselt kaug-kasulike koormuste toomiseks ja käivitamiseks, sageli kasutaja teadmata. |
| Tüüpkükkimine ja võltskahvlid | Pahatahtlikud projektid, mis matkivad populaarsete tööriistade või mängude repositooriumide nimesid või struktuuri, et petta arendajaid neid installima. |
| GitHubi lehtede kuritarvitamine | „GitHub IO Games” lehtedel peidetud JavaScript, pildid või ümbersuunamised, mis käivitavad lehe laadimisel pahatahtlike skriptide käivitamise. |
| Võltsitud populaarsussignaalid | Ghost-kontod suurendavad kunstlikult tähti, hargnemisi ja vaatlejaid, et pahatahtlikud repositooriumid usaldusväärsed näiksid. |
Need meetodid ei ole teoreetilised. Neid on juba elus täheldatud. pahavara kampaaniad, millest paljud olid suunatud arendajatele, kes kasutasid sisenemispunktidena mängude repositooriume.
Õnneks suudavad mõned turvaplatvormid need mustrid enne kahju tekitamist tuvastada. Järgmises osas näitame, kuidas Xygeni neid ohte teie arvutis tuvastab, blokeerib ja kõrvaldab. SDLC.
Kuidas Xygeni kaitseb GitHubi mänge, blokeerimata projekte ja CI/CD Pipelines
Kui GitHubi mängurepositooriumides ilmnevad riskantsed mustrid, pakub Xygeni täielikku kaitset, et peatada ohud enne, kui need teie süsteeme või tarneahelat kahjustavad.
1. Varajane hoiatus: reaalajas pahavara tuvastamine GitHubi mängudes ja sõltuvustes
Xygeni skannib pidevalt uusi pakette NPM-is, Mavenis, PyPI-s ja mujal. See hõlmab ootamatutesse kohtadesse manustatud pakette, näiteks mängude hoidlatesse või GitHubi blokeerimata mänguprojektidesse, mida jagatakse foorumites või koolivõrkudes. Kahtlase komponendi leidmisel paigutab Xygeni selle automaatselt karantiini, blokeerib selle kasutamise teie sõltuvustes ja saadab teie meeskonnale reaalajas hoiatusi. See hoiab ära pahatahtlike koormuste sisenemise teie koodibaasi või CI/CD pipeline.
2. Ligipääsetavust arvestav SCA intelligentse prioriseerimisega
Selle asemel, et oma meeskonda teadetega üle koormata, Xygeni hindab, kas teie koodis on tegelikult haavatavust kasutatud (kättesaadavus) ja hõlmab riskihindamist (EPSS, ärimõju), et tuua esile kõige kriitilisemad probleemid. See vähendab oluliselt müra ja tagab, et teie meeskond tegutseb selle nimel, mis on tõeliselt oluline.
3. Automatiseeritud parandusmeetodid Pull Requests
Kui tuvastatakse haavatavus või pahatahtlik sõltuvus, mille parandus on teada, loob Xygeni automaatselt Pull Request probleemi täiustamiseks või parandamiseks. See kiirendab reageerimisaega, piirab käsitsi tööd ja hoiab teie pipeline turvaline.
4. CI/CD Turvakontrollid pahatahtlike versioonide blokeerimiseks
Xygeni integreerub ehitusega pipelines GitHub Actionsi, Jenkinsi, GitLabi ja Azure'i kaudu Pipelines ja teised. See skannib ehitusskripte, Dockerfaile ja CI/CD konfiguratsioonid kahtlaste käskude jaoks, näiteks pöördkestade või installiskriptide jaoks, ning võivad blokeerida ehitusi, kui tuvastatakse ohtlik kood.
5. Ehitage terviklikkust SLSA-ga ühilduvate atesteerimiste abil
. Build Security moodul loob allkirjastatud sertifikaadid pärast SLSA ja in-toto standards, metaandmete manustamine allikale, sõltuvused, SBOMja testid. Kui ilmnevad volitamata muudatused, siis atesteerimise valideerimine ebaõnnestub ja pipeline peatub automaatselt.
6. Anomaaliate tuvastamine SCM ja CI artefaktid
Xygeni jälgib pidevalt teie lähtekoodi ja CI-keskkondi, et tuvastada ebatavalist käitumist, näiteks commitharukaitse, tundmatute kasutajate või ootamatute tokeni andmiste möödahiilimine. Koos selle SAST mootor, see tuvastab peidetud tagauksed või süstitud skriptid enne ühendamist või juurutamist.
7. Automatiseeritud varade avastamine ja ASPM Nähtavus
Xygeni ehitab elav inventuur teie kogu SDLC ökosüsteem, sealhulgas repositooriumid, kaastöötajad, pipelines, sõltuvused ja pilveinfrastruktuur. See nähtavus võimaldab dünaamilist riskide prioriseerimist, vastavuskaardistusi (nt NIS2, DORA) ja auditeerimisvalmis tõendeid ilma olemasolevaid töövooge häirimata.
Mida GitHubi mängud tähendavad turvalistele arendajatele: jääge uudishimulikuks, püsige turvalisena
- Kui repo sisaldab peidetud ehitusskripti, mis laadib alla pahatahtliku koodi (nt installijärgne PowerShelli skript), märgistab Xygeni selle enne käivitamist ja blokeerib selle.
- Kahtlasele sõltuvusele viitava koodi ühendamisel blokeerib Xygeni selle ja pakub automaatset parandust Pull Request.
- Kui GitHub Pages'i hostitud projekt sisaldab peidetud pahatahtlikke skripte, siis Xygeni SCA ja pahavara tuvastamine tuvastab need isegi siis, kui need käivituvad ainult lehe laadimise ajal.
- Ehitama pipelines lükkab tagasi commitKui loodud artefaktid või konfiguratsioonid ei läbi atesteerimiskontrolli, peatatakse ohustatud versioonide jõudmine tootmiskeskkonda.
Xygeniga saate jätkata avastamist ja proovimist githubi mängud enesekindlalt. Iga samm kloonimisest kuni juurutamiseni on kaitstud. Arendajad jäävad uudishimulikuks, pipelinepüsime turvalised ja teie tarneahel puhas.




