परिचय: GitHub खेलहरूको उदय र रमाइलो पछाडिका जोखिमहरू
यदि तपाईंले कहिल्यै खोज्नुभएको छ भने GitHub खेलहरू, तपाईंले सम्भवतः ब्राउजर-आधारित शूटरहरू देखि जाभास्क्रिप्ट वा पाइथनसँग निर्मित रेट्रो क्लोनहरू सम्म सबै कुरा भेट्टाउनुभएको छ। यी परियोजनाहरू प्रयास गर्न रमाइलो, चलाउन सजिलो, र प्रायः YouTube ट्यूटोरियल वा फोरमहरूमा देखा पर्दछन्। फलस्वरूप, तिनीहरू स्कूलहरूमा विशेष गरी लोकप्रिय भएका छन्, जहाँ विकासकर्ताहरू र विद्यार्थीहरूले प्रायः तिनीहरूलाई पहुँच गर्छन्। GitHub अनब्लक गरिएका खेलहरू वा तिनीहरूलाई काँटाबाट GitHub io खेलहरू पृष्ठहरू।
यो लोकप्रियताको कारण, विकासकर्ताहरू र विद्यार्थीहरू दुवैले यी रिपोहरू क्लोन गर्छन्, कोड चलाउँछन्, र धेरै सोचविचार नगरी अगाडि बढ्छन्। तर समस्या यहाँ छ: यी सबै खेलहरू जस्तो देखिन्छन् त्यस्तै छैनन्।
केही गेम रिपोहरूले शंकास्पद स्थापना स्क्रिप्टहरू चलाउँछन्। अरूले पुरानो वा कमजोर निर्भरताहरू तान्छन्। केहीले सम्पत्ति, कन्टेनर, वा डिप्लोयमेन्ट फाइलहरू भित्र मालवेयर पनि लुकाउँछन्। धेरै विकासकर्ताहरूले यी परियोजनाहरू मार्फत होस्ट गर्ने भएकोले GitHub io खेलहरू, जोखिम छिटो फैलिन्छ र प्रायः बेवास्ता गरिन्छ।
यस पोस्टमा, हामी गेम रिपोहरू कसरी गम्भीर सुरक्षा खतरा बन्न सक्छन् भनेर अन्वेषण गर्नेछौं। हामी तपाईंलाई आफ्नो जिज्ञासा वा आफ्नो CI/CD.
किन आक्रमणकारीहरूले GitHub खेलहरू र अनब्लक गरिएका भण्डारहरूलाई लक्षित गर्छन्
पहिलो नजरमा, GitHub मा गेम रिपोहरू हानिरहित देखिन्छन्। आखिर, तिनीहरू प्रायः साना प्रयोगहरू वा रमाइलोको लागि बनाइएका शैक्षिक परियोजनाहरू हुन्। यद्यपि, आक्रमणकारीहरूले यी फरक तरिकाले हेर्छन्। वास्तविकतामा, धेरै यस्ता रिपोहरूलाई मालवेयर डेलिभरी प्लेटफर्मको रूपमा प्रयोग गरिन्छ, प्रायः भेषमा GitHub खेलहरू or गिथब अनब्लक गरिएका खेलहरू.
उदाहरणका लागि, एक धम्की अभिनेता भनेर चिनिन्छ स्टारगेजर गोब्लिन भन्दा बढीको नेटवर्क सञ्चालन गर्दछ ३,००० घोस्ट गिटहब खाताहरू, जसलाई "स्टारगेजर्स घोस्ट नेटवर्क" भनिन्छ। यो समूहले जानाजानी आफ्नो दृश्यता र वैधता बढाउन दुर्भावनापूर्ण रिपोहरूलाई तारा बनाउँछ, फोर्क गर्छ र हेर्छ, सामान्यतया उपकरणहरू वा खेल चिटहरू खोज्ने प्रयोगकर्ताहरूलाई लक्षित गर्छ। यी रिपोजिटरीहरू एट्लान्टिडा स्टीलर, राडामान्थिस, लुम्मा स्टीलर, र रेडलाइन जस्ता जानकारी-चोर्ने र र्यान्समवेयर वितरण गर्न प्रयोग गरिएको छ।
यसबाहेक, अर्को परिष्कृत अभियान भनिन्छ पानीको श्राप कम्तिमा हतियारधारी भएको छ ७६ GitHub खाताहरू, बहु-चरण मालवेयरलाई वैध उपकरणहरू जस्तो देखिने ठाउँमा इम्बेड गर्दै। पेलोडहरू भिजुअल स्टुडियो परियोजना फाइलहरू (PreBuildEvent) मा लुकेका छन्, प्रमाण चोरी, ब्राउजर डेटा निकासी, र दीर्घकालीन दृढताको लागि अस्पष्ट स्क्रिप्टहरू र इलेक्ट्रोन-आधारित बाइनरीहरू तैनाथ गर्दै। लक्ष्यहरूमा विकासकर्ताहरू, DevOps टोलीहरू, र खेल सिर्जनाकर्ताहरू समावेश छन्।
आक्रमणकारीहरूले धेरै विकासकर्ताहरूले कोड समीक्षा नगरी परीक्षण गर्न वा सिक्न गिथब खेलहरू क्लोन गर्छन् भन्ने तथ्यको फाइदा उठाउँछन्। त्यस्तै गरी, गिथब पृष्ठहरू मार्फत सेवा गरिएका रिपोहरू, गिथब io खेलहरूले ब्राउजरमा लोड हुँदा कार्यान्वयन हुने दुर्भावनापूर्ण जाभास्क्रिप्ट, छविहरू, वा पुनर्निर्देशन स्क्रिप्टहरू होस्ट गर्न सक्छन्। धेरै गिथब io खेलहरू फोर्क गरिएका र गहिरो निरीक्षण बिना पुन: प्रयोग गरिएका हुनाले, आक्रमणकारीहरूले तिनीहरूलाई अस्पष्ट कोड, लुकेका ट्र्याकरहरू, वा ट्रिगरहरू डाउनलोड गर्न प्रयोग गर्छन्। यी रणनीतिहरूले खुला-स्रोत परियोजनाहरूमा विकासकर्ताहरूको विश्वासको शोषण गर्छन्।
छोटकरीमा भन्नुपर्दा, गेम रिपो र अनब्लक-प्ले परियोजनाहरूको लोकप्रियताले तिनीहरूलाई आक्रमणकारीहरूको लागि उर्वर भूमि बनाउँछ। उचित स्क्रिनिङ बिना, एक जिज्ञासु विकासकर्ताले गेम रिपो क्लोनिंग वा होस्ट गरेर आफ्नो वातावरणमा मालवेयर परिचय गराउन सक्छ।
के तपाईं आफ्ना सबै GitHub परियोजनाहरू सुरक्षित गर्न चाहनुहुन्छ?
यदि तपाईं खेल मोडहरू भन्दा बाहिर आफ्नो GitHub रिपोहरू कसरी सुरक्षित गर्ने भनेर सोचिरहनुभएको छ भने, अनुमतिहरूमा हाम्रो गहिरो-डाइभ पोस्ट नछुटाउनुहोस्, pull requests, CI/CD एकीकरण, र थप।
GitHub अनब्लक गरिएका खेलहरू र GitHub IO खेलहरूमा मालवेयर ढाँचाहरू
विकासकर्ताहरूले लेबल गरिएका परियोजनाहरूको अन्वेषण गर्दा github unblocked games, धेरै हानिरहित देखिन्छन्। यद्यपि, धेरै पुनरावर्ती ढाँचाहरूले गम्भीर खतराहरू प्रकट गर्दछ जुन सजिलै छुटाउन सकिन्छ।
अभियान: पानीको श्राप
ट्रेन्ड माइक्रोले एउटा अभियानको पर्दाफास गर्यो जसलाई पानीको श्राप, जसमा कम्तिमा ७६ GitHub खाताहरू विकासकर्ता उपकरण वा खेल मोडको रूपमा लुकाएर होस्ट गरिएका हतियारयुक्त भण्डारहरू। यी रिपोहरूले दुर्भावनापूर्ण पेलोडहरू प्रयोग गरेर इम्बेड गर्छन् <PreBuildEvent> भिजुअल स्टुडियो परियोजना फाइलहरूमा ट्यागहरू। निर्माणको क्रममा, अस्पष्ट PowerShell वा VBS स्क्रिप्टहरूले एन्क्रिप्टेड ZIP अभिलेखहरू डाउनलोड गर्छन्, इलेक्ट्रोन-आधारित बाइनरीहरू स्थापना गर्छन्, र प्रमाणहरू, ब्राउजर डेटा, र सत्र टोकनहरू एक्सफिल्टरेट गर्छन्। मालवेयरले निर्धारित कार्यहरू र रजिस्ट्री परिवर्तनहरू मार्फत दृढता पनि लागू गर्दछ।
GitHub खेलहरूमा स्यूडोकोड: हुक
<PropertyGroup> <PreBuildEvent> powershell -NoProfile -ExecutionPolicy Bypass -WindowStyle Hidden -Command "download ZIP from GitHub → extract payload → run installer" </PreBuildEvent> </PropertyGroup> स्यूडोकोड: अस्पष्ट पावरशेल कार्यान्वयन
# decode base64 payload payload = decode_base64('...') # run in memory execute_in_memory(payload) यो सरलीकृत उदाहरणले कसरी दुर्भावनापूर्ण कोडले मेमोरीमा सिधै डिकोडिङ र कार्यान्वयन गरेर डिस्क लेखनबाट बचाउँछ भनेर देखाउँछ।
अभियान: पानीको श्राप
ट्रेन्ड माइक्रोले एउटा खतरा अपरेशन पहिचान गर्यो जसलाई भनिन्छ पानीको श्राप, जहाँ आक्रमणकारीहरूले कम्तिमा प्रयोग गरे ७६ GitHub खाताहरू हतियारयुक्त भण्डारहरू होस्ट गर्न। यी परियोजनाहरू विकासकर्ता उपकरणहरू वा खेल मोडहरू जस्तो देखिन्थे। आन्तरिक रूपमा, तिनीहरूले निर्माण फाइलहरूमा दुर्भावनापूर्ण तर्क एम्बेड गरे, विशेष गरी मार्फत <PreBuildEvent> भिजुअल स्टुडियोमा ट्याग .csproj फाइलहरू।
पेलोडहरूमा बहु-चरण स्क्रिप्टहरू समावेश थिए जसले एन्क्रिप्टेड जिपहरू डाउनलोड गर्थे, फाइलहरू निकाल्थे, र ब्याकडोरहरू कार्यान्वयन गर्थे। यसबाहेक, आक्रमणकारीहरूले विन्डोज रजिस्ट्री सम्पादनहरू र निर्धारित कार्यहरू प्रयोग गरेर दृढता संयन्त्रहरू थपे।
स्यूडोकोड उदाहरण: भिजुअल स्टुडियो बिल्ड हुक
<PropertyGroup> <PreBuildEvent> powershell -Command "download ZIP from GitHub, extract payload, and run installer" </PreBuildEvent> </PropertyGroup> स्यूडोकोड: पावरशेल मार्फत इन-मेमोरी कार्यान्वयन
# Decode and run base64 payload in memory payload = decode_base64('...') execute_in_memory(payload) यो प्रविधिले डिस्कमा लेख्नबाट जोगाउँछ, जसले आक्रमणकारीहरूलाई एन्टिभाइरस पत्ता लगाउन बाइपास गर्न र चोरी प्राप्त गर्न मद्दत गर्दछ।
अभियान: स्टारगेजर गोब्लिन र घोस्ट अकाउन्टहरू
चेक पोइन्ट रिसर्चले अर्को ठूलो स्तरको आक्रमणको दस्तावेजीकरण गरेको थियो, जसले खुलासा गर्यो कि स्टारगेजर्स घोस्ट नेटवर्क। यो अभियान प्रयोग गरियो ३,००० नक्कली गिटहब खाताहरू दुर्भावनापूर्ण भण्डारहरूमा तारा, काँटा र वाचरहरू फुलाउनु। लक्ष्य वैधताको गलत भावना सिर्जना गर्नु थियो।
यी घोस्ट खाताहरूले मालवेयरलाई बढावा दिन मद्दत गरे जस्तै एट्लान्टिक चोर, लुम्मा, राडामन्थिस, र रेडलाइन, प्रायः विकासकर्ताहरू र गेमरहरूलाई लक्षित गर्दै। केवल चार दिनमा, एउटा आक्रमणको लहरले भन्दा बढीलाई संक्रमित गर्यो 1,300 पीडितहरू Discord र README लिङ्कहरू मार्फत परिमार्जित खेल मोड प्याकहरू फैलाएर।
स्यूडोकोड उदाहरण: मालिसियस README
# Ultimate Game Mod Pack 🕹️ Download and run the installer here: [Download Now](https://github[dot]com/ghost/repo/releases/latest/modpack.zip) GitHub खेल भण्डारहरूमा सामान्य मालवेयर ढाँचाहरू
| ढाँचा | विवरण |
|---|---|
| पूर्व-स्थापना / स्क्रिप्टहरू निर्माण गर्नुहोस् | स्क्रिप्टहरू जुन स्थापनाको समयमा स्वचालित रूपमा चल्छन् वा रिमोट पेलोडहरू ल्याउन र कार्यान्वयन गर्न निर्माण गर्छन्, प्रायः प्रयोगकर्ता जागरूकता बिना। |
| टाइपोस्क्वाटिंग र नक्कली काँटाहरू | विकासकर्ताहरूलाई छल गरेर स्थापना गर्न लगाउन लोकप्रिय उपकरणहरू वा गेम रिपोहरूको नाम वा संरचनाको नक्कल गर्ने दुर्भावनापूर्ण परियोजनाहरू। |
| GitHub पृष्ठहरूको दुरुपयोग | `github io games` पृष्ठहरूमा लुकेका JavaScript, छविहरू, वा रिडिरेक्टहरू जसले पृष्ठ लोड हुँदा दुर्भावनापूर्ण स्क्रिप्टहरूको कार्यान्वयनलाई ट्रिगर गर्दछ। |
| नक्कली लोकप्रियता संकेतहरू | दुर्भावनापूर्ण भण्डारहरूलाई विश्वसनीय देखाउनको लागि भूत खाताहरूले ताराहरू, काँटाहरू र वाचरहरूलाई कृत्रिम रूपमा फुलाउँछन्। |
यी प्रविधिहरू सैद्धान्तिक छैनन्। यी पहिले नै प्रत्यक्ष रूपमा अवलोकन गरिसकिएका छन् मालवेयर अभियानहरू, जसमध्ये धेरैले खेल रिपोहरू प्रविष्टि बिन्दुको रूपमा प्रयोग गर्ने विकासकर्ताहरूलाई लक्षित गरे।
सौभाग्यवश, केही सुरक्षा प्लेटफर्महरूले यी ढाँचाहरूलाई क्षति पुर्याउनु अघि नै समात्न सक्छन्। अर्को खण्डमा, हामी देखाउनेछौं कि Xygeni ले तपाईंको कम्प्युटरमा यी खतराहरू कसरी पत्ता लगाउँछ, रोक्छ र समाधान गर्छ। SDLC.
कसरी Xygeni ले GitHub खेलहरू, अनब्लक गरिएका परियोजनाहरू, र सुरक्षित गर्छ CI/CD Pipelines
जब GitHub खेलमा जोखिमपूर्ण ढाँचाहरू देखा पर्छन्, Xygeni ले तपाईंको प्रणाली वा आपूर्ति श्रृंखलामा खतराहरू आउनु अघि नै तिनीहरूलाई रोक्न पूर्ण-स्ट्याक प्रतिरक्षा प्रदान गर्दछ।
१. प्रारम्भिक चेतावनी: GitHub खेल र निर्भरताहरूमा वास्तविक-समय मालवेयर पत्ता लगाउने
जाइगेनी NPM, Maven, PyPI, र थपमा नयाँ प्याकेजहरू निरन्तर स्क्यान गर्दछ। यसमा अप्रत्याशित स्थानहरूमा एम्बेड गरिएका प्याकेजहरू समावेश छन्, जस्तै फोरम वा स्कूल नेटवर्कहरूमा साझा गरिएको गेम रिपो वा गिटहब अनब्लक गरिएका खेल परियोजनाहरू। यदि कुनै शंकास्पद घटक फेला पर्यो भने, Xygeni ले स्वचालित रूपमा यसलाई क्वारेन्टाइन गर्छ, तपाईंको निर्भरताहरूमा यसको प्रयोगलाई रोक्छ, र तपाईंको टोलीलाई वास्तविक-समय अलर्टहरू पठाउँछ। यसले दुर्भावनापूर्ण पेलोडहरूलाई तपाईंको कोडबेसमा प्रवेश गर्नबाट रोक्छ वा CI/CD pipeline.
2. पहुँचयोग्यता-सचेत SCA बुद्धिमान प्राथमिकताका साथ
आफ्नो टोलीलाई अलर्टले भर्नुको सट्टा, जाइगेनी तपाईंको कोडमा वास्तवमा कुनै जोखिम प्रयोग गरिएको छ कि छैन भनेर मूल्याङ्कन गर्दछ (पहुँचयोग्यता) र जोखिम स्कोरिङ समावेश गर्दछ (ईपीएसएस(व्यापारिक प्रभाव) सबैभन्दा महत्त्वपूर्ण मुद्दाहरूलाई सतहमा ल्याउन। यसले उल्लेखनीय रूपमा आवाज कम गर्छ र तपाईंको टोलीले वास्तवमै महत्त्वपूर्ण कुराहरूमा कार्य गर्छ भन्ने कुरा सुनिश्चित गर्दछ।
3. स्वचालित उपचार प्रयोग गर्दै Pull Requests
जब कुनै ज्ञात समाधानको साथ जोखिम वा दुर्भावनापूर्ण निर्भरता पत्ता लाग्छ, Xygeni ले स्वचालित रूपमा एउटा सिर्जना गर्दछ Pull Request समस्यालाई अपग्रेड वा प्याच गर्न। यसले प्रतिक्रिया समयलाई गति दिन्छ, म्यानुअल कामलाई सीमित गर्दछ, र तपाईंको pipeline सुरक्षित
4. CI/CD दुर्भावनापूर्ण निर्माणहरू रोक्न सुरक्षा नियन्त्रणहरू
जाइजेनी निर्माणसँग एकीकृत हुन्छ pipelineGitHub Actions, Jenkins, GitLab, Azure मार्फत s Pipelines, र अन्य। यसले बिल्ड स्क्रिप्टहरू, डकरफाइलहरू, र स्क्यान गर्दछ CI/CD शंकास्पद आदेशहरूको लागि कन्फिगहरू, जस्तै रिभर्स शेलहरू वा स्क्रिप्टहरू स्थापना गर्नुहोस्, र खतरनाक कोड पत्ता लागेमा निर्माणहरू रोक्न सक्छ।
5. SLSA-अनुरूप प्रमाणीकरणहरू मार्फत अखण्डता निर्माण गर्नुहोस्
यो Build Security मोड्युलले SLSA र पूर्ण रूपमा हस्ताक्षरित प्रमाणीकरणहरू सिर्जना गर्दछ standards, स्रोतमा मेटाडेटा इम्बेड गर्दै, निर्भरताहरू, SBOM, र परीक्षणहरू। यदि कुनै अनधिकृत परिमार्जनहरू भएमा, प्रमाणीकरण प्रमाणीकरण असफल हुन्छ र pipeline स्वतः रोकिन्छ।
6. विसंगति पत्ता लगाउने SCM र CI कलाकृतिहरू
Xygeni ले असामान्य व्यवहार पत्ता लगाउन तपाईंको स्रोत कोड र CI वातावरणको निरन्तर निगरानी गर्दछ, जस्तै commitशाखा सुरक्षा, अज्ञात प्रयोगकर्ताहरू, वा अप्रत्याशित टोकन अनुदानहरू बाइपास गर्दै। यसको साथ संयुक्त SAST इन्जिन, यसले लुकेका पछाडिका ढोकाहरू पहिचान गर्दछ वा इन्जेक्टेड स्क्रिप्टहरू मर्ज वा तैनाती अघि।
7. स्वचालित सम्पत्ति खोज र ASPM दृश्यता
Xygeni ले बनाउँछ a प्रत्यक्ष सूची तपाईंको सम्पूर्ण SDLC भण्डारहरू, सहयोगीहरू सहित पारिस्थितिक प्रणाली, pipelines, निर्भरताहरू, र क्लाउड पूर्वाधार। यो दृश्यताले अवस्थित कार्यप्रवाहहरूलाई बाधा पुर्याउन बिना गतिशील जोखिम प्राथमिकता, अनुपालन म्यापिङहरू (जस्तै NIS2, DORA), र लेखा परीक्षण-तयार प्रमाणहरूलाई सक्षम बनाउँछ।
सुरक्षित विकासकर्ताहरूको लागि GitHub खेलहरूको अर्थ के हो: उत्सुक रहनुहोस्, सुरक्षित रहनुहोस्
- यदि कुनै रिपोमा लुकेको बिल्ड स्क्रिप्ट छ जसले दुर्भावनापूर्ण कोड डाउनलोड गर्दछ (जस्तै स्थापना पछिको PowerShell स्क्रिप्ट), Xygeni ले कार्यान्वयन अघि यसलाई फ्ल्याग र ब्लक गर्नेछ।
- शंकास्पद निर्भरतालाई सन्दर्भ गर्ने कोड मर्ज गर्दा, Xygeni ले यसलाई ब्लक गर्छ र मार्फत स्वतः समाधान प्रदान गर्दछ Pull Request.
- यदि GitHub पृष्ठहरू, होस्ट गरिएको परियोजनामा लुकेका दुर्भावनापूर्ण स्क्रिप्टहरू छन् भने, Xygeni को SCA र मालवेयर पत्ता लगाउनाले तिनीहरूलाई पहिचान गर्दछ, यदि तिनीहरू पृष्ठ लोड हुँदा मात्र कार्यान्वयन हुन्छन् भने पनि।
- निर्माण pipelineअस्वीकार गर्नेछ। commitयदि निर्मित कलाकृतिहरू वा कन्फिगरेसनहरू प्रमाणीकरण जाँचहरू असफल भएमा, सम्झौता गरिएका निर्माणहरूलाई उत्पादनमा पुग्नबाट रोक्छ।
Xygeni को साथ, तपाईं पत्ता लगाउन र प्रयास गर्न जारी राख्न सक्नुहुन्छ गिथब खेलहरू आत्मविश्वासका साथ। क्लोनिङदेखि तैनाथीसम्मको हरेक चरण सुरक्षित छ। विकासकर्ताहरू उत्सुक रहन्छन्, pipelineसुरक्षित रहन्छ, र तपाईंको आपूर्ति श्रृंखला सफा रहन्छ।




