Inleiding: De opkomst van GitHub-games en de risico's achter het plezier
Als je ooit hebt gezocht naar GitHub-spellenJe bent waarschijnlijk van alles tegengekomen, van browsergebaseerde shooters tot retroklonen gebouwd met JavaScript of Python. Deze projecten zijn leuk om te proberen, makkelijk uit te voeren en verschijnen vaak in YouTube-tutorials of forums. Daardoor zijn ze vooral populair geworden op scholen, waar ontwikkelaars en studenten er vaak toegang toe hebben via GitHub-geblokkeerde games of vork ze van GitHub io-games bladzijden.
Vanwege deze populariteit klonen zowel ontwikkelaars als studenten deze repositories, voeren de code uit en gaan zonder veel nadenken verder. Maar hier is het probleem: niet al deze games zijn wat ze lijken.
Sommige game-repositories draaien louche installatiescripts. Andere halen verouderde of kwetsbare afhankelijkheden op. Een paar verbergen zelfs malware in assets, containers of implementatiebestanden. Omdat veel ontwikkelaars deze projecten hosten via GitHub io-games, het risico verspreidt zich snel en blijft vaak onopgemerkt.
In dit bericht onderzoeken we hoe game-opslagplaatsen een ernstige bedreiging voor de beveiliging kunnen worden. We laten je ook zien hoe je veilig kunt blijven zonder je nieuwsgierigheid of je eigen veiligheid op te geven. CI/CD.
Waarom aanvallers GitHub-games en niet-geblokkeerde repositories als doelwit hebben
Op het eerste gezicht lijken game-repositories op GitHub onschuldig. Het zijn immers vaak kleine experimenten of educatieve projecten die voor de lol zijn gebouwd. Aanvallers zien dit echter anders. In werkelijkheid zijn veel van dergelijke repositories onschadelijk. repo's worden gebruikt als platformen voor de distributie van malware, vaak vermomd als GitHub-spellen or github ongeblokkeerde games.
Een dreigingsactor die bekend staat als Sterrenkijker Goblin exploiteert een netwerk van meer dan 3,000 spook GitHub-accounts, ook wel het "Stargazers Ghost Network" genoemd. Deze groep plaatst opzettelijk kwaadaardige repositories in de gaten, splitst ze op en houdt ze in de gaten om hun zichtbaarheid en legitimiteit te vergroten. Ze richten zich meestal op gebruikers die op zoek zijn naar tools of cheats. Deze repositories zijn gebruikt om informatiestealers en ransomware zoals Atlantida Stealer, Rhadamanthys, Lumma Stealer en RedLine te verspreiden.
Bovendien is er nog een andere geavanceerde campagne genaamd Watervloek heeft ten minste een wapen 76 GitHub-accounts, waarbij multistage malware wordt ingebouwd in ogenschijnlijk legitieme tools. De payloads zijn verborgen in Visual Studio-projectbestanden (PreBuildEvent) en implementeren verhulde scripts en Electron-gebaseerde binaire bestanden voor diefstal van inloggegevens, extractie van browsergegevens en langdurige persistentie. Doelwitten zijn onder meer ontwikkelaars, DevOps-teams en gameontwikkelaars.
Aanvallers maken misbruik van het feit dat veel ontwikkelaars GitHub-games klonen om ze te testen of ervan te leren zonder de code te controleren. GitHub io-games, repositories die via GitHub Pages worden aangeboden, kunnen eveneens schadelijke JavaScript-code, afbeeldingen of omleidingsscripts hosten die worden uitgevoerd wanneer ze in een browser worden geladen. Omdat veel GitHub io-games worden geforkt en hergebruikt zonder grondige inspectie, gebruiken aanvallers deze om verhulde code, verborgen trackers of downloadtriggers te smokkelen. Deze tactieken misbruiken het vertrouwen dat ontwikkelaars stellen in open-sourceprojecten.
Kortom, de populariteit van game-repositories en projecten voor ongeblokkeerd spelen maakt ze een vruchtbare bodem voor aanvallers. Zonder de juiste screening kan een nieuwsgierige ontwikkelaar malware in zijn omgeving introduceren door simpelweg een game-repository te klonen of te hosten.
Wilt u al uw GitHub-projecten beveiligen?
Als je je afvraagt hoe je je GitHub-repositories kunt beschermen buiten gamemods, mis dan niet ons diepgaande bericht over machtigingen, pull requests, CI/CD integratie, en meer.
Malwarepatronen in GitHub Unblocked Games en GitHub IO Games
Wanneer ontwikkelaars projecten onderzoeken die zijn gelabeld als github unblocked games, veel lijken ongevaarlijk. Verschillende terugkerende patronen onthullen echter ernstige bedreigingen die gemakkelijk over het hoofd kunnen worden gezien.
Campagne: Watervloek
Trend Micro heeft een campagne ontdekt genaamd Watervloek, waarin ten minste 76 GitHub-accounts gehoste, bewapende repositories die zich voordoen als ontwikkelaarstools of gamemods. Deze repositories bevatten kwaadaardige payloads met behulp van <PreBuildEvent> tags in Visual Studio-projectbestanden. Tijdens builds downloaden gemaskeerde PowerShell- of VBS-scripts gecodeerde ZIP-archieven, installeren ze Electron-gebaseerde binaire bestanden en exfiltreren ze inloggegevens, browsergegevens en sessietokens. De malware implementeert ook persistentie via geplande taken en registerwijzigingen.
Pseudocode in GitHub Games: haak
<PropertyGroup> <PreBuildEvent> powershell -NoProfile -ExecutionPolicy Bypass -WindowStyle Hidden -Command "download ZIP from GitHub → extract payload → run installer" </PreBuildEvent> </PropertyGroup> Pseudocode: Verduisterde PowerShell-uitvoering
# decode base64 payload payload = decode_base64('...') # run in memory execute_in_memory(payload) Dit vereenvoudigde voorbeeld laat zien hoe schadelijke code schrijfbewerkingen op de schijf omzeilt door de code te decoderen en rechtstreeks in het geheugen uit te voeren.
Campagne: Watervloek
Trend Micro heeft een dreigingsoperatie geïdentificeerd die bekend staat als Watervloek, waarbij aanvallers ten minste 76 GitHub-accounts om wapenrepositories te hosten. Deze projecten leken ontwikkelaarstools of gamemods te zijn. Intern integreerden ze kwaadaardige logica in build-bestanden, met name via de <PreBuildEvent> tag in Visual Studio .csproj bestanden.
De payloads omvatten meerstapsscripts die versleutelde ZIP-bestanden downloadden, bestanden uitpakten en backdoors uitvoerden. Bovendien voegden aanvallers persistentiemechanismen toe met behulp van Windows-registerbewerkingen en geplande taken.
Pseudocodevoorbeeld: Visual Studio Build Hook
<PropertyGroup> <PreBuildEvent> powershell -Command "download ZIP from GitHub, extract payload, and run installer" </PreBuildEvent> </PropertyGroup> Pseudocode: In-Memory-uitvoering via PowerShell
# Decode and run base64 payload in memory payload = decode_base64('...') execute_in_memory(payload) Met deze techniek wordt voorkomen dat er naar schijf wordt geschreven, waardoor aanvallers antivirusdetectie kunnen omzeilen en onopgemerkt kunnen blijven.
Campagne: Stargazer Goblin en Ghost Accounts
Een andere grootschalige aanval werd gedocumenteerd door Check Point Research, dat onthulde dat Stargazers Ghost NetworkDeze campagne is meer dan 3,000 neppe GitHub-accounts om sterren, forks en watchers op kwaadaardige repositories op te blazen. Het doel was om een vals gevoel van legitimiteit te creëren.
Deze spookaccounts hielpen bij het promoten van malware zoals Atlantida-stealer, luma, Rhadamanthysen Rode lijn, die zich vooral op ontwikkelaars en gamers richtten. In slechts vier dagen tijd infecteerde één aanvalsgolf meer dan 1,300 slachtoffers door aangepaste gamemodpakketten te verspreiden via Discord en README-links.
Pseudocodevoorbeeld: kwaadaardige README
# Ultimate Game Mod Pack 🕹️ Download and run the installer here: [Download Now](https://github[dot]com/ghost/repo/releases/latest/modpack.zip) Veelvoorkomende malwarepatronen in GitHub-game-repositories
| Patronen | Beschrijving |
|---|---|
| Pre-installatie/Build Scripts | Scripts die automatisch worden uitgevoerd tijdens de installatie of build om externe payloads op te halen en uit te voeren, vaak zonder dat de gebruiker zich daarvan bewust is. |
| Typosquatting en nep-forks | Kwaadaardige projecten die de namen of structuur van populaire tools of game-repositories imiteren om ontwikkelaars ertoe te verleiden deze te installeren. |
| Misbruik van GitHub-pagina's | JavaScript, afbeeldingen of omleidingen die verborgen zijn in `github io games`-pagina's, veroorzaken de uitvoering van schadelijke scripts bij het laden van de pagina. |
| Nep-populariteitssignalen | Ghost-accounts vergroten kunstmatig de sterren, forks en watchers om kwaadaardige repositories betrouwbaar te laten lijken. |
Deze technieken zijn niet theoretisch. Ze zijn al in levende lijve waargenomen. malware campagnes, waarvan er veel gericht waren op ontwikkelaars die game-opslagplaatsen als toegangspunten gebruikten.
Gelukkig kunnen sommige beveiligingsplatforms deze patronen detecteren voordat ze schade aanrichten. In het volgende gedeelte laten we zien hoe Xygeni deze bedreigingen in uw hele netwerk detecteert, blokkeert en herstelt. SDLC.
Hoe Xygeni GitHub-games, niet-geblokkeerde projecten en CI/CD Pipelines
Wanneer er risicovolle patronen in GitHub-gameopslagplaatsen aan het licht komen, biedt Xygeni een volledige verdediging om bedreigingen te stoppen voordat ze uw systemen of toeleveringsketen in gevaar brengen.
1. Vroege waarschuwing: realtime malwaredetectie in GitHub-games en -afhankelijkheden
Xygeni Scant continu nieuwe pakketten in NPM, Maven, PyPI en meer. Dit omvat pakketten die op onverwachte plaatsen zijn ingesloten, zoals game-opslagplaatsen of ongeblokkeerde GitHub-gameprojecten die worden gedeeld via forums of schoolnetwerken. Als een verdachte component wordt gevonden, plaatst Xygeni deze automatisch in quarantaine, blokkeert het gebruik ervan in uw afhankelijkheden en stuurt realtime waarschuwingen naar uw team. Dit voorkomt dat schadelijke payloads uw codebase of CI/CD pipeline.
2. Bereikbaarheidsbewust SCA met intelligente prioritering
In plaats van uw team te overweldigen met waarschuwingen, Xygeni evalueert of een kwetsbaarheid daadwerkelijk in uw code wordt gebruikt (bereikbaarheid) en omvat risicobeoordeling (EPSS, business impact) om de meest kritieke problemen aan het licht te brengen. Dit vermindert de ruis aanzienlijk en zorgt ervoor dat uw team handelt naar wat er echt toe doet.
3. Geautomatiseerde sanering met behulp van Pull Requests
Wanneer een kwetsbaarheid of kwaadaardige afhankelijkheid wordt gedetecteerd met een bekende oplossing, maakt Xygeni automatisch een Pull Request om het probleem te upgraden of te verhelpen. Dit versnelt de reactietijd, beperkt handmatig werk en zorgt ervoor dat uw pipeline veilig.
4. CI/CD Beveiligingscontroles om kwaadaardige builds te blokkeren
Xygeni integreert met build pipelinevia GitHub Actions, Jenkins, GitLab, Azure Pipelines, en anderen. Het scant buildscripts, Dockerfiles en CI/CD configuraties voor verdachte opdrachten, zoals omgekeerde shells of installatiescripts, en kan builds blokkeren als gevaarlijke code wordt gedetecteerd.
5. Integriteit opbouwen via SLSA-conforme attestaties
De Build Security module maakt ondertekende attestaties aan volgens SLSA en in-toto standards, het insluiten van metadata op bron, afhankelijkheden, SBOMen tests. Als er ongeautoriseerde wijzigingen optreden, mislukt de attestvalidatie en de pipeline stopt automatisch.
6. Anomaliedetectie in SCM en CI-artefacten
Xygeni controleert voortdurend uw broncode en CI-omgevingen om ongebruikelijk gedrag te detecteren, zoals commitomzeilt branchbeveiliging, onbekende gebruikers of onverwachte tokentoekenningen. Gecombineerd met zijn SAST engine, identificeert het verborgen achterdeurtjes of geïnjecteerde scripts vóór samenvoeging of implementatie.
7. Geautomatiseerde activadetectie en ASPM Zichtbaarheid
Xygeni bouwt een live inventaris van je hele SDLC ecosysteem, inclusief opslagplaatsen, medewerkers, pipelines, afhankelijkheden en cloudinfrastructuur. Deze zichtbaarheid maakt dynamische risicoprioritering, compliance mappings (bijv. NIS2, DORA) en auditklaar bewijs mogelijk zonder bestaande workflows te verstoren.
Wat GitHub Games betekenen voor veilige ontwikkelaars: blijf nieuwsgierig, blijf veilig
- Als een repository een verborgen buildscript bevat dat schadelijke code downloadt (bijvoorbeeld een PowerShell-script dat na de installatie wordt geïnstalleerd), wordt dit door Xygeni gemarkeerd en geblokkeerd voordat het wordt uitgevoerd.
- Bij het samenvoegen van code die verwijst naar een verdachte afhankelijkheid, blokkeert Xygeni deze en biedt het een automatische oplossing via Pull Request.
- Als een gehost GitHub Pages-project verborgen kwaadaardige scripts bevat, SCA en malwaredetectie identificeert ze zelfs als ze alleen tijdens het laden van de pagina worden uitgevoerd.
- Bouw pipelines zal afwijzen commitAls gebouwde artefacten of configuraties de attestatiecontroles niet doorstaan, kunnen gecompromitteerde builds nooit de productie bereiken.
Met Xygeni kunt u blijven ontdekken en uitproberen github-spellen met vertrouwen. Elke stap, van klonen tot implementatie, is beveiligd. Ontwikkelaars blijven nieuwsgierig, pipelineblijven veilig en uw toeleveringsketen blijft schoon.




