Introduction : L'essor des jeux GitHub et les risques liés au divertissement
Si vous avez déjà cherché Jeux GitHub, vous avez probablement déjà croisé des jeux de tir sur navigateur ou des clones rétro créés avec JavaScript ou Python. Ces projets sont amusants à essayer, faciles à exécuter et apparaissent souvent dans des tutoriels YouTube ou des forums. De ce fait, ils sont devenus particulièrement populaires dans les écoles, où les développeurs et les étudiants y ont souvent accès via Jeux débloqués sur GitHub ou les bifurquer à partir de Jeux GitHub io .
En raison de cette popularité, développeurs et étudiants clonent ces dépôts, exécutent le code et passent à autre chose sans trop réfléchir. Mais voici le problème : tous ces jeux ne sont pas ce qu'ils semblent être.
Certains dépôts de jeux exécutent des scripts d'installation douteux. D'autres intègrent des dépendances obsolètes ou vulnérables. Certains dissimulent même des logiciels malveillants dans des ressources, des conteneurs ou des fichiers de déploiement. De nombreux développeurs hébergent ces projets via Jeux GitHub io, le risque se propage rapidement et passe souvent inaperçu.
Dans cet article, nous explorerons comment les dépôts de jeux peuvent devenir une menace sérieuse pour la sécurité. Nous vous montrerons également comment rester en sécurité sans renoncer à votre curiosité ni à votre CI/CD.
Pourquoi les attaquants ciblent les jeux GitHub et les dépôts débloqués
À première vue, les dépôts de jeux sur GitHub semblent inoffensifs. Après tout, il s'agit souvent de petites expériences ou de projets éducatifs conçus pour le plaisir. Cependant, les attaquants les perçoivent différemment. En réalité, beaucoup de ces dépôts sont inoffensifs. les dépôts sont utilisés comme plateformes de diffusion de logiciels malveillants, souvent déguisé en Jeux GitHub or jeux débloqués sur github.
Par exemple, un acteur de menace connu sous le nom de Gobelin astronome exploite un réseau de plus de 3,000 XNUMX comptes GitHub fantômes, surnommé le « Stargazers Ghost Network ». Ce groupe repère, duplique et surveille délibérément des dépôts malveillants pour accroître sa visibilité et sa légitimité, ciblant généralement les utilisateurs à la recherche d'outils ou de codes de triche. Ces dépôts ont été utilisés pour diffuser des logiciels de vol d'informations et des rançongiciels comme Atlantida Stealer, Rhadamanthys, Lumma Stealer et RedLine.
De plus, une autre campagne sophistiquée appelée Malédiction de l'eau a militarisé au moins 76 comptes GitHub, intégrant des logiciels malveillants multi-étapes dans des outils apparemment légitimes. Les charges utiles sont dissimulées dans des fichiers de projet Visual Studio (PreBuildEvent), déployant des scripts obscurcis et des binaires basés sur Electron pour le vol d'identifiants, l'extraction de données de navigateur et la persistance à long terme. Les cibles incluent les développeurs, les équipes DevOps et les créateurs de jeux.
Les attaquants profitent du fait que de nombreux développeurs clonent des jeux GitHub pour les tester ou en tirer des leçons sans en examiner le code. De même, les jeux GitHub io, hébergés via des dépôts GitHub Pages, peuvent héberger du JavaScript malveillant, des images ou des scripts de redirection qui s'exécutent lors du chargement dans un navigateur. Comme de nombreux jeux GitHub io sont dupliqués et réutilisés sans inspection approfondie, les attaquants les utilisent pour introduire du code obscurci, des trackers cachés ou des déclencheurs de téléchargement. Ces tactiques exploitent la confiance que les développeurs accordent aux projets open source.
En bref, la popularité des dépôts de jeux et des projets de jeu débloqués en fait un terrain fertile pour les attaquants. Sans filtrage adéquat, un développeur curieux peut introduire des logiciels malveillants dans son environnement simplement en clonant ou en hébergeant un dépôt de jeu.
Modèles de logiciels malveillants dans les jeux GitHub Unblocked et GitHub IO
Lorsque les développeurs explorent des projets étiquetés comme github unblocked games, beaucoup semblent inoffensifs. Cependant, plusieurs schémas récurrents révèlent des menaces sérieuses qui peuvent facilement passer inaperçues.
Campagne : Malédiction de l'eau
Trend Micro a découvert une campagne appelée Malédiction de l'eau, dans lequel au moins 76 comptes GitHub Des dépôts hébergés et militarisés se faisant passer pour des outils de développement ou des mods de jeu. Ces dépôts intègrent des charges utiles malveillantes utilisant <PreBuildEvent> Balises dans les fichiers de projet Visual Studio. Lors des builds, des scripts PowerShell ou VBS obscurcis téléchargent des archives ZIP chiffrées, installent des binaires Electron et exfiltrent des identifiants, des données de navigateur et des jetons de session. Le logiciel malveillant implémente également la persistance via des tâches planifiées et des modifications du registre.
Pseudocode dans GitHub Games : Crochet
<PropertyGroup>
<PreBuildEvent>
powershell -NoProfile -ExecutionPolicy Bypass -WindowStyle Hidden -Command "download ZIP from GitHub → extract payload → run installer"
</PreBuildEvent>
</PropertyGroup>
Pseudocode : exécution PowerShell obscurcie
# decode base64 payload
payload = decode_base64('...')
# run in memory
execute_in_memory(payload)
Cet exemple simplifié montre comment un code malveillant évite les écritures sur disque en décodant et en s'exécutant directement en mémoire.
Campagne : Malédiction de l'eau
Trend Micro a identifié une opération de menace connue sous le nom de Malédiction de l'eau, où les attaquants ont utilisé au moins 76 comptes GitHub pour héberger des dépôts militarisés. Ces projets semblaient être des outils de développement ou des mods de jeu. En interne, ils intégraient une logique malveillante dans les fichiers de build, notamment via <PreBuildEvent> balise dans Visual Studio .csproj fichiers.
Les charges utiles comprenaient des scripts en plusieurs étapes qui téléchargeaient des fichiers ZIP chiffrés, extrayaient des fichiers et exécutaient des portes dérobées. De plus, les attaquants ont ajouté des mécanismes de persistance en modifiant le registre Windows et en planifiant des tâches.
Exemple de pseudo-code : hook de build Visual Studio
<PropertyGroup>
<PreBuildEvent>
powershell -Command "download ZIP from GitHub, extract payload, and run installer"
</PreBuildEvent>
</PropertyGroup>Pseudocode : exécution en mémoire via PowerShell
# Decode and run base64 payload in memory
payload = decode_base64('...')
execute_in_memory(payload)
Cette technique évite d’écrire sur le disque, ce qui aide les attaquants à contourner la détection antivirus et à gagner en discrétion.
Campagne : Comptes gobelins et fantômes Stargazer
Une autre attaque à grande échelle a été documentée par Check Point Research, qui a révélé que Réseau fantôme des astronomes. Cette campagne a utilisé plus de 3,000 XNUMX faux comptes GitHub pour gonfler les étoiles, les forks et les observateurs sur des dépôts malveillants. L'objectif était de créer un faux sentiment de légitimité.
Ces comptes fantômes ont contribué à promouvoir des logiciels malveillants tels que Voleur d'Atlantida, Lumma, rhadamanthys et Redline, ciblant principalement les développeurs et les joueurs. En seulement quatre jours, une vague d'attaque a infecté plus de Victimes 1,300 en diffusant des packs de mods de jeu modifiés via Discord et des liens README.
Exemple de pseudocode : fichier README malveillant
# Ultimate Game Mod Pack 🕹️
Download and run the installer here:
[Download Now](https://github[dot]com/ghost/repo/releases/latest/modpack.zip)
Modèles de logiciels malveillants courants dans les dépôts de jeux GitHub
| Patron de Couture | Description |
|---|---|
| Scripts de pré-installation/construction | Scripts qui s'exécutent automatiquement lors de l'installation ou de la construction pour récupérer et exécuter des charges utiles distantes, souvent à l'insu de l'utilisateur. |
| Typosquatting et fausses fourches | Projets malveillants qui imitent les noms ou la structure d'outils ou de référentiels de jeux populaires pour inciter les développeurs à les installer. |
| Abus de pages GitHub | JavaScript, images ou redirections cachés dans les pages « github io games » qui déclenchent l'exécution de scripts malveillants lors du chargement de la page. |
| Faux signaux de popularité | Comptes fantômes gonflant artificiellement les étoiles, les forks et les observateurs pour faire apparaître les référentiels malveillants comme dignes de confiance. |
Ces techniques ne sont pas théoriques. Elles ont déjà été observées en conditions réelles. campagnes de logiciels malveillants, dont beaucoup ciblaient les développeurs utilisant les dépôts de jeux comme points d'entrée.
Heureusement, certaines plateformes de sécurité peuvent détecter ces schémas avant qu'ils ne causent des dommages. Dans la section suivante, nous verrons comment Xygeni détecte, bloque et neutralise ces menaces sur votre ordinateur. SDLC.
Comment Xygeni sécurise les jeux GitHub, les projets débloqués et CI/CD Pipelines
Lorsque des modèles risqués apparaissent dans les dépôts de jeux GitHub, Xygeni fournit une défense complète pour arrêter les menaces avant qu'elles ne compromettent vos systèmes ou votre chaîne d'approvisionnement.
1. Alerte précoce : détection des logiciels malveillants en temps réel dans les jeux et dépendances GitHub
Xygéni Analyse en continu les nouveaux paquets sur NPM, Maven, PyPI, etc. Cela inclut les paquets intégrés à des emplacements inattendus, tels que les dépôts de jeux ou les projets de jeux GitHub non bloqués, partagés sur des forums ou des réseaux scolaires. Si un composant suspect est détecté, Xygeni le met automatiquement en quarantaine, bloque son utilisation dans vos dépendances et envoie des alertes en temps réel à votre équipe. Cela empêche les charges malveillantes d'entrer dans votre base de code ou CI/CD pipeline.
2. Sens de l'accessibilité SCA avec une priorisation intelligente
Au lieu de submerger votre équipe d’alertes, Xygéni évalue si une vulnérabilité est réellement utilisée dans votre code (accessibilité) et intègre la notation des risques (EPSS, impact sur l'entreprise) pour mettre en évidence les problèmes les plus critiques. Cela réduit considérablement le bruit et garantit que votre équipe agit sur ce qui compte vraiment.
3. Remédiation automatisée à l'aide de Pull Requests
Lorsqu'une vulnérabilité ou une dépendance malveillante est détectée avec un correctif connu, Xygeni crée automatiquement un Pull Request pour mettre à niveau ou corriger le problème. Cela accélère le temps de réponse, limite le travail manuel et préserve votre pipeline garantir.
4. CI/CD Contrôles de sécurité pour bloquer les builds malveillants
Xygeni s'intègre à la construction pipelinevia GitHub Actions, Jenkins, GitLab, Azure Pipelines, et autres. Il analyse les scripts de build, les Dockerfiles et CI/CD configurations pour les commandes suspectes, telles que les shells inversés ou les scripts d'installation, et peuvent bloquer les builds si un code dangereux est détecté.
5. Renforcez l'intégrité grâce aux attestations conformes à la SLSA
L'espace Build Security le module crée des attestations signées conformément à SLSA et in-toto standards, intégration de métadonnées sur la source, dépendances, SBOMet des tests. Si des modifications non autorisées se produisent, la validation de l'attestation échoue et le pipeline s'arrête automatiquement.
6. Détection d'anomalies dans SCM et artefacts CI
Xygeni surveille en permanence votre code source et vos environnements CI pour détecter les comportements inhabituels, tels que commitcontournant la protection des branches, les utilisateurs inconnus ou les attributions de jetons inattendues. Combiné à ses SAST moteur, il identifie les portes dérobées cachées ou scripts injectés avant la fusion ou le déploiement.
7. Découverte automatisée des actifs et ASPM Visibilité
Xygeni construit un inventaire en direct de l'ensemble de votre SDLC écosystème, y compris les référentiels, les collaborateurs, pipelines, dépendances et infrastructure cloud. Cette visibilité permet une priorisation dynamique des risques, des cartographies de conformité (par exemple, NIS2, DORA) et des preuves prêtes à être auditées sans perturber les flux de travail existants.
Ce que les jeux GitHub signifient pour les développeurs en sécurité : rester curieux, rester en sécurité
- Si un référentiel contient un script de build caché qui télécharge du code malveillant (par exemple, un script PowerShell post-installation), Xygeni le signalera et le bloquera avant l'exécution.
- Lors de la fusion de code faisant référence à une dépendance suspecte, Xygeni la bloque et propose une correction automatique via Pull Request.
- Si un projet hébergé sur GitHub Pages contient des scripts malveillants cachés, Xygeni SCA et la détection des logiciels malveillants les identifie même s'ils ne s'exécutent que pendant le chargement de la page.
- Se construisent pipelines rejettera commits si les artefacts ou les configurations construits échouent aux vérifications d'attestation, empêchant les builds compromis d'atteindre la production.
Avec Xygeni, vous pouvez continuer à découvrir et à essayer jeux github en toute confiance. Chaque étape, du clonage au déploiement, est sécurisée. Les développeurs restent curieux, pipelineRestez en sécurité et votre chaîne d'approvisionnement reste propre.
