Введение: Расцвет GitHub Games и риски, связанные с этим развлечением
Если вы когда-нибудь искали Игры GitHub, вы, вероятно, сталкивались со всем этим: от браузерных шутеров до ретро-клонов, созданных на JavaScript или Python. Эти проекты интересно попробовать, легко запустить, и они часто появляются в обучающих роликах на YouTube или на форумах. В результате они стали особенно популярны в школах, где разработчики и студенты часто получают к ним доступ через GitHub разблокировал игры или ответвить их от GitHub io игры страниц.
Из-за этой популярности разработчики и студенты клонируют эти репозитории, запускают код и продолжают работать, не особо задумываясь. Но вот в чём проблема: не все эти игры — то, чем кажутся.
Некоторые игровые репозитории используют подозрительные установочные скрипты. Другие используют устаревшие или уязвимые зависимости. Некоторые даже скрывают вредоносное ПО внутри ресурсов, контейнеров или файлов развертывания. Поскольку многие разработчики размещают эти проекты через… GitHub io игры, риск быстро распространяется и часто остается незамеченным.
В этой статье мы рассмотрим, как репозитории игр могут стать серьёзной угрозой безопасности. Мы также покажем вам, как обеспечить безопасность, не жертвуя своим любопытством и CI/CD.
Почему злоумышленники нацеливаются на GitHub Games и разблокированные репозитории
На первый взгляд, репозитории игр на GitHub кажутся безобидными. В конце концов, это часто небольшие эксперименты или образовательные проекты, созданные ради развлечения. Однако злоумышленники видят их иначе. В реальности многие из них… репозитории используются как платформы для доставки вредоносных программ, часто замаскированный под Игры GitHub or github разблокированные игры.
Например, злоумышленник, известный как Звездочет Гоблин управляет сетью из более чем 3,000 призрачных аккаунтов GitHub, получившая название «Сеть призраков Stargazers». Эта группа намеренно добавляет звёзды, разветвляется и отслеживает вредоносные репозитории для повышения своей заметности и легитимности, обычно нацеливаясь на пользователей, ищущих инструменты или игровые читы. Эти репозитории использовались для распространения программ-вымогателей и программ-похитителей информации, таких как Atlantida Stealer, Rhadamanthys, Lumma Stealer и RedLine.
Более того, еще одна сложная кампания под названием Водное проклятие по крайней мере, вооружил 76 аккаунтов GitHub, внедряя многоэтапное вредоносное ПО в то, что выглядит как легитимные инструменты. Полезная нагрузка скрыта в файлах проектов Visual Studio (PreBuildEvent), развертывая замаскированные скрипты и двоичные файлы на базе Electron для кражи учётных данных, извлечения данных браузера и долгосрочного сохранения. Целями атаки являются разработчики, команды DevOps и создатели игр.
Злоумышленники пользуются тем, что многие разработчики клонируют игры с GitHub для тестирования или обучения, не анализируя код. Аналогично, игры GitHub IO, репозитории которых размещаются через GitHub Pages, могут содержать вредоносный JavaScript, изображения или скрипты перенаправления, которые выполняются при загрузке в браузере. Поскольку многие игры GitHub IO создаются на основе форков и используются повторно без тщательной проверки, злоумышленники используют их для внедрения обфусцированного кода, скрытых трекеров или триггеров загрузки. Эти тактики эксплуатируют доверие разработчиков к проектам с открытым исходным кодом.
Короче говоря, популярность игровых репозиториев и проектов с разблокированными играми делает их благодатной почвой для злоумышленников. Без надлежащей проверки любопытный разработчик может внедрить вредоносное ПО в свою среду, просто клонировав или разместив игровой репозиторий.
Шаблоны вредоносных программ в GitHub Unblocked Games и GitHub IO Games
Когда разработчики изучают проекты, отмеченные как github unblocked gamesМногие из них кажутся безобидными. Однако некоторые повторяющиеся закономерности указывают на серьёзные угрозы, которые легко пропустить.
Кампания: Водное проклятие
Trend Micro раскрыла кампанию под названием Водное проклятие, в котором по крайней мере 76 аккаунтов GitHub Размещенные репозитории, маскирующиеся под инструменты разработчика или игровые моды. Эти репозитории внедряют вредоносные компоненты, используя <PreBuildEvent> теги в файлах проектов Visual Studio. Во время сборки обфусцированные скрипты PowerShell или VBS загружают зашифрованные ZIP-архивы, устанавливают двоичные файлы на базе Electron и похищают учётные данные, данные браузера и токены сеансов. Вредоносная программа также обеспечивает сохранение данных через запланированные задачи и изменения реестра.
Псевдокод в GitHub Games: крюк
<PropertyGroup>
<PreBuildEvent>
powershell -NoProfile -ExecutionPolicy Bypass -WindowStyle Hidden -Command "download ZIP from GitHub → extract payload → run installer"
</PreBuildEvent>
</PropertyGroup>
Псевдокод: запутанное выполнение PowerShell
# decode base64 payload
payload = decode_base64('...')
# run in memory
execute_in_memory(payload)
Этот упрощенный пример показывает, как вредоносный код избегает записи на диск, декодируя и выполняясь непосредственно в памяти.
Кампания: Водное проклятие
Trend Micro выявила опасную операцию, известную как Водное проклятие, где злоумышленники использовали по крайней мере 76 аккаунтов GitHub для размещения репозиториев, предназначенных для использования в военных целях. Эти проекты, по всей видимости, представляли собой инструменты разработчика или игровые моды. Внутри они внедряли вредоносную логику в файлы сборки, особенно через <PreBuildEvent> тег в Visual Studio .csproj файлы.
Полезная нагрузка включала многоступенчатые скрипты, которые загружали зашифрованные ZIP-архивы, извлекали файлы и запускали бэкдоры. Кроме того, злоумышленники добавляли механизмы сохранения, используя редактирование реестра Windows и запланированные задачи.
Пример псевдокода: Visual Studio Build Hook
<PropertyGroup>
<PreBuildEvent>
powershell -Command "download ZIP from GitHub, extract payload, and run installer"
</PreBuildEvent>
</PropertyGroup>Псевдокод: выполнение в памяти с помощью PowerShell
# Decode and run base64 payload in memory
payload = decode_base64('...')
execute_in_memory(payload)
Этот метод позволяет избежать записи на диск, что позволяет злоумышленникам обходить антивирусное обнаружение и оставаться незамеченными.
Кампания: Звездочет Гоблин и Призрак Аккаунты
Еще одна крупномасштабная атака была задокументирована Check Point Research, которая показала, Сеть призраков звездочетов. В этой кампании было использовано более 3,000 поддельных аккаунтов GitHub для раздувания звёзд, форков и наблюдателей на вредоносных репозиториях. Цель заключалась в создании ложного чувства легитимности.
Эти аккаунты-призраки способствовали распространению вредоносного ПО, такого как Атлантида Похититель, Лумма, Радамантис и Красная линия, в основном нацеленных на разработчиков и геймеров. Всего за четыре дня одна волна атак заразила более жертвы 1,300 путем распространения модифицированных пакетов игровых модов через Discord и ссылки README.
Пример псевдокода: вредоносный README
# Ultimate Game Mod Pack 🕹️
Download and run the installer here:
[Download Now](https://github[dot]com/ghost/repo/releases/latest/modpack.zip)
Распространенные шаблоны вредоносного ПО в репозиториях игр GitHub
| шаблон | Описание |
|---|---|
| Скрипты предварительной установки/сборки | Скрипты, которые автоматически запускаются во время установки или сборки для извлечения и выполнения удаленных полезных нагрузок, часто без ведома пользователя. |
| Тайпсквоттинг и фейковые вилки | Вредоносные проекты, которые имитируют названия или структуру популярных инструментов или игровых репозиториев, чтобы обманом заставить разработчиков установить их. |
| Злоупотребление страницами GitHub | JavaScript, изображения или перенаправления, скрытые на страницах `github io games`, которые запускают выполнение вредоносных скриптов при загрузке страницы. |
| Ложные сигналы популярности | Аккаунты-призраки, которые искусственно раздувают количество звезд, форков и наблюдателей, чтобы вредоносные репозитории выглядели заслуживающими доверия. |
Эти методы не теоретические. Они уже наблюдались в реальных условиях. вредоносные кампании, многие из которых были нацелены на разработчиков, использующих игровые репозитории в качестве точек входа.
К счастью, некоторые платформы безопасности способны выявлять эти шаблоны до того, как они нанесут вред. В следующем разделе мы покажем, как Xygeni обнаруживает, блокирует и устраняет эти угрозы на вашем компьютере. SDLC.
Как Xygeni защищает игры GitHub, разблокированные проекты и CI/CD Pipelines
При обнаружении опасных шаблонов в игровых репозиториях GitHub Xygeni обеспечивает комплексную защиту, чтобы остановить угрозы до того, как они поставят под угрозу ваши системы или цепочку поставок.
1. Раннее предупреждение: обнаружение вредоносных программ в режиме реального времени в играх и зависимостях GitHub
Ксигени Постоянно сканирует новые пакеты в NPM, Maven, PyPI и других системах. Это включает пакеты, встроенные в неожиданные места, такие как репозитории игр или незаблокированные игровые проекты GitHub, распространяемые на форумах или в школьных сетях. При обнаружении подозрительного компонента Xygeni автоматически помещает его в карантин, блокирует его использование в ваших зависимостях и отправляет уведомления вашей команде в режиме реального времени. Это предотвращает проникновение вредоносных данных в вашу кодовую базу или CI/CD pipeline.
2. С учетом достижимости SCA с интеллектуальной приоритизацией
Вместо того, чтобы перегружать свою команду оповещениями, Ксигени оценивает, действительно ли уязвимость используется в вашем коде (достижимость) и включает оценку риска (ЭПСС(влияние на бизнес) для выявления наиболее важных проблем. Это значительно снижает уровень шума и гарантирует, что ваша команда будет действовать над тем, что действительно важно.
3. Автоматизированное исправление с использованием Pull Requests
При обнаружении уязвимости или вредоносной зависимости с известным исправлением Xygeni автоматически создает Pull Request для обновления или исправления проблемы. Это ускоряет время ответа, сокращает объем ручной работы и позволяет вам pipeline обеспечить.
4. CI/CD Средства контроля безопасности для блокировки вредоносных сборок
Xygeni интегрируется со сборкой pipelineчерез GitHub Actions, Jenkins, GitLab, Azure Pipelines и другие. Он сканирует скрипты сборки, Dockerfiles и CI/CD конфигурации для подозрительных команд, таких как обратные оболочки или установочные скрипты, и могут блокировать сборки при обнаружении опасного кода.
5. Обеспечение добросовестности с помощью аттестаций, соответствующих требованиям SLSA
Build Security Модуль создает подписанные аттестаты в соответствии с SLSA и в целом standards, внедрение метаданных в источник, зависимости, SBOMи тесты. В случае несанкционированных изменений проверка аттестации не проходит, и pipeline останавливается автоматически.
6. Обнаружение аномалий в SCM и артефакты CI
Xygeni постоянно отслеживает исходный код и среды непрерывной интеграции, чтобы обнаружить необычное поведение, такое как commitобход защиты ветвей, неизвестных пользователей или непредвиденных выдач токенов. В сочетании с SAST движок, он обнаруживает скрытые бэкдоры или внедренные скрипты перед слиянием или развертыванием.
7. Автоматизированное обнаружение активов и ASPM Прозрачность
Xygeni строит живой инвентарь всего вашего SDLC экосистема, включая репозитории, соавторов, pipelines, зависимостей и облачной инфраструктуры. Такая прозрачность обеспечивает динамическую приоритизацию рисков, сопоставление соответствия (например, NIS2, DORA) и предоставление готовых к аудиту данных без нарушения текущих рабочих процессов.
Что GitHub Games означает для надёжных разработчиков: будьте любознательны, оставайтесь в безопасности
- Если репозиторий содержит скрытый скрипт сборки, загружающий вредоносный код (например, скрипт PowerShell после установки), Xygeni отметит его и заблокирует перед выполнением.
- При слиянии кода, который ссылается на подозрительную зависимость, Xygeni блокирует его и предлагает автоматическое исправление через Pull Request.
- Если проект, размещенный на GitHub Pages, содержит скрытые вредоносные скрипты, Xygeni SCA и обнаружение вредоносных программ позволяет идентифицировать их, даже если они выполняются только во время загрузки страницы.
- Построить pipelines будет отвергнут commits если созданные артефакты или конфигурации не проходят проверку аттестации, что предотвращает попадание скомпрометированных сборок в производство.
С Xygeni вы можете продолжать открывать и пробовать игры на github С уверенностью. Каждый этап, от клонирования до развертывания, защищён. Разработчики остаются любопытными, pipelineоставайтесь в безопасности, и ваша цепочка поставок останется чистой.
