Panimula: Ang Pag-usbong ng mga Laro sa GitHub at ang mga Panganib sa Likod ng Kasayahan
Kung hinanap mo na Mga laro sa GitHub, malamang ay nakatagpo ka na ng lahat mula sa mga browser-based shooter hanggang sa mga retro clone na ginawa gamit ang JavaScript o Python. Ang mga proyektong ito ay masayang subukan, madaling patakbuhin, at madalas na lumalabas sa mga tutorial o forum sa YouTube. Bilang resulta, naging popular ang mga ito lalo na sa mga paaralan, kung saan madalas itong ma-access ng mga developer at estudyante sa pamamagitan ng Mga larong hindi na-block ng GitHub o hatiin ang mga ito mula sa Mga laro sa GitHub io pahina.
Dahil sa kasikatan na ito, kinokopya ng mga developer at estudyante ang mga repo na ito, pinapatakbo ang code, at nagpapatuloy nang walang gaanong pag-iisip. Ngunit narito ang problema: hindi lahat ng mga larong ito ay kung ano ang tila sila.
Ang ilang mga game repo ay nagpapatakbo ng mga kahina-hinalang install script. Ang iba naman ay kumukuha ng mga luma o mahinang dependency. Ang ilan ay nagtatago pa nga ng malware sa loob ng mga asset, container, o deployment file. Dahil maraming developer ang nagho-host ng mga proyektong ito sa pamamagitan ng Mga laro sa GitHub io, mabilis na kumakalat ang panganib at kadalasang hindi napapansin.
Sa post na ito, susuriin natin kung paano maaaring maging isang seryosong banta sa seguridad ang mga game repo. Ipapakita rin namin sa iyo kung paano manatiling ligtas nang hindi isinusuko ang iyong kuryosidad o ang iyong CI/CD.
Bakit Tinatarget ng mga Attacker ang mga Laro sa GitHub at mga Naka-unblock na Repositoryo
Sa unang tingin, tila hindi nakakapinsala ang mga game repo sa GitHub. Tutal, kadalasan ay maliliit na eksperimento o proyektong pang-edukasyon ang mga ito na ginawa para sa kasiyahan. Gayunpaman, iba ang pananaw ng mga umaatake dito. Sa katotohanan, maraming ganitong uri ng Ginagamit ang mga repo bilang mga platform ng paghahatid ng malware, kadalasang nagbabalatkayo bilang Mga laro sa GitHub or mga larong hindi naka-block sa github.
Halimbawa, isang aktor ng banta na kilala bilang Stargazer Goblin nagpapatakbo ng isang network ng mahigit 3,000 ghost GitHub account, na tinaguriang "Stargazers Ghost Network." Sadyang nilalagay sa star, fork, at pinapanood ng grupong ito ang mga malisyosong repo upang mapalakas ang kanilang visibility at lehitimo, karaniwang tinatarget ang mga user na naghahanap ng mga tool o game cheat. Ang mga repositoryong ito ay ginagamit upang mamahagi ng mga info-stealer at ransomware tulad ng Atlantida Stealer, Rhadamanthys, Lumma Stealer, at RedLine.
Bukod dito, isa pang sopistikadong kampanya na tinatawag na Sumpa ng Tubig ay gumamit ng armas kahit papaano 76 na GitHub account, na naglalagay ng multistage malware sa mga tila lehitimong tool. Ang mga payload ay nakatago sa mga Visual Studio project file (PreBuildEvent), na nagde-deploy ng mga obfuscated script at mga Electron-based binary para sa pagnanakaw ng kredensyal, pagkuha ng data ng browser, at pangmatagalang persistence. Kabilang sa mga target ang mga developer, DevOps team, at mga game creator.
Sinasamantala ng mga umaatake ang katotohanang maraming developer ang kumukopya ng mga laro sa github para subukan o matuto mula sa mga ito nang hindi sinusuri ang code. Gayundin, ang mga laro sa github io, mga repo na inihahatid sa pamamagitan ng GitHub Pages, ay maaaring mag-host ng mga malisyosong JavaScript, mga imahe, o mga redirection script na isinasagawa kapag na-load sa isang browser. Dahil maraming laro sa github io ang na-fork at muling ginagamit nang walang masusing pagsusuri, ginagamit ito ng mga umaatake para ipuslit ang mga nakatagong code, mga nakatagong tracker, o mga download trigger. Sinasamantala ng mga taktikang ito ang tiwala na ibinibigay ng mga developer sa mga open-source na proyekto.
Sa madaling salita, ang popularidad ng mga game repo at mga proyektong hindi nakaharang sa paglalaro ay ginagawa itong matabang lupa para sa mga umaatake. Kung walang wastong pagsusuri, maaaring magpasok ng malware ang isang mausisang developer sa kanilang kapaligiran sa pamamagitan lamang ng pag-clone o pagho-host ng isang game repo.
Gusto mo bang i-secure ang lahat ng iyong mga proyekto sa GitHub?
Kung nagtataka ka kung paano protektahan ang iyong mga repo sa GitHub na higit pa sa mga mod ng laro, huwag palampasin ang aming malalimang post tungkol sa mga pahintulot, pull requests, CI/CD pagsasama, at higit pa.
Mga Pattern ng Malware sa Mga Larong Hindi Na-unblock ng GitHub at Mga Larong IO ng GitHub
Kapag ginalugad ng mga developer ang mga proyektong may label na github unblocked games, marami ang tila hindi nakakapinsala. Gayunpaman, maraming paulit-ulit na gawi ang nagpapakita ng mga seryosong banta na madaling hindi mapansin.
Kampanya: Sumpa ng Tubig
Natuklasan ng Trend Micro ang isang kampanyang tinatawag na Sumpa ng Tubig, kung saan kahit papaano 76 na GitHub account naka-host na mga repositoryong may armas na nagkukunwaring mga tool ng developer o mga mod ng laro. Ang mga repositoryong ito ay nag-e-embed ng mga malisyosong payload gamit ang <PreBuildEvent> mga tag sa mga file ng proyekto ng Visual Studio. Sa panahon ng mga pagbuo, ang mga obfuscated na PowerShell o VBS script ay nagda-download ng mga naka-encrypt na ZIP archive, nag-i-install ng mga binary na nakabatay sa Electron, at nag-e-exfiltrate ng mga kredensyal, data ng browser, at mga token ng session. Nagpapatupad din ang malware ng persistence sa pamamagitan ng mga naka-iskedyul na gawain at mga pagbabago sa registry.
Pseudocode sa Mga Laro sa GitHub: kawit
<PropertyGroup> <PreBuildEvent> powershell -NoProfile -ExecutionPolicy Bypass -WindowStyle Hidden -Command "download ZIP from GitHub → extract payload → run installer" </PreBuildEvent> </PropertyGroup> Pseudocode: Nakalilitong Pagpapatupad ng PowerShell
# decode base64 payload payload = decode_base64('...') # run in memory execute_in_memory(payload) Ipinapakita ng pinasimpleng halimbawang ito kung paano iniiwasan ng malisyosong code ang mga disk write sa pamamagitan ng pag-decode at pagpapatupad nang direkta sa memorya.
Kampanya: Sumpa ng Tubig
Natukoy ng Trend Micro ang isang operasyon ng banta na kilala bilang Sumpa ng Tubig, kung saan gumamit ang mga umaatake ng kahit man lang 76 na GitHub account para mag-host ng mga weaponized repository. Ang mga proyektong ito ay tila mga developer tool o game mod. Sa loob, naglagay sila ng malisyosong lohika sa mga build file, lalo na sa pamamagitan ng <PreBuildEvent> tag sa Visual Studio .csproj file.
Kasama sa mga payload ang mga multi-stage script na nag-download ng mga naka-encrypt na ZIP, nag-extract ng mga file, at nagpatakbo ng mga backdoor. Bukod pa rito, nagdagdag ang mga attacker ng mga mekanismo ng persistence gamit ang mga pag-edit sa registry ng Windows at mga naka-iskedyul na gawain.
Halimbawa ng Pseudocode: Visual Studio Build Hook
<PropertyGroup> <PreBuildEvent> powershell -Command "download ZIP from GitHub, extract payload, and run installer" </PreBuildEvent> </PropertyGroup> Pseudocode: Pagpapatupad sa In-Memory gamit ang PowerShell
# Decode and run base64 payload in memory payload = decode_base64('...') execute_in_memory(payload) Iniiwasan ng pamamaraang ito ang pagsusulat sa disk, na tumutulong sa mga umaatake na malampasan ang pagtuklas ng antivirus at makakuha ng nakatagong impormasyon.
Kampanya: Stargazer Goblin at Ghost Accounts
Isa pang malawakang pag-atake ang naidokumento ng Check Point Research, na nagsiwalat ng Stargazers Ghost Network. Ang kampanyang ito ay ginamit nang mahigit 3,000 pekeng GitHub account para palakihin ang mga star, fork, at watcher sa mga malisyosong repository. Ang layunin ay lumikha ng maling pakiramdam ng pagiging lehitimo.
Ang mga ghost account na ito ay nakatulong sa pag-promote ng malware tulad ng Atlantic Stealer, luma, Rhadamanthys, at Redline, na kadalasang tinatarget ang mga developer at gamer. Sa loob lamang ng apat na araw, isang alon ng pag-atake ang nakaapekto sa higit sa biktima 1,300 sa pamamagitan ng pagkalat ng mga modified game mod pack sa pamamagitan ng Discord at README links.
Halimbawa ng Pseudocode: Malisyosong README
# Ultimate Game Mod Pack 🕹️ Download and run the installer here: [Download Now](https://github[dot]com/ghost/repo/releases/latest/modpack.zip) Mga Karaniwang Pattern ng Malware sa mga Repositoryo ng Laro sa GitHub
| huwaran | paglalarawan |
|---|---|
| Mga Script na Paunang I-install / Buuin | Mga script na awtomatikong tumatakbo habang nag-i-install o nagbu-build upang kumuha at magpatakbo ng mga remote payload, kadalasan nang hindi nalalaman ng user. |
| Pag-typoquat at Pekeng Tinidor | Mga nakakahamak na proyekto na ginagaya ang mga pangalan o istruktura ng mga sikat na tool o game repo para linlangin ang mga developer na i-install ang mga ito. |
| Pag-abuso sa Mga Pahina ng GitHub | Mga JavaScript, larawan, o pag-redirect na nakatago sa mga pahina ng 'github io games' na nagti-trigger sa pagpapatupad ng mga malisyosong script sa pag-load ng pahina. |
| Mga Pekeng Senyales ng Popularidad | Artipisyal na pinapalaki ng mga ghost account ang mga star, fork, at watcher para magmukhang mapagkakatiwalaan ang mga malisyosong repository. |
Ang mga pamamaraang ito ay hindi teoretikal. Naobserbahan na ang mga ito sa mga live na mga kampanya ng malware, na marami sa mga ito ay nagta-target sa mga developer na gumagamit ng mga game repo bilang mga entry point.
Mabuti na lang at kayang mahuli ng ilang security platform ang mga pattern na ito bago pa man sila magdulot ng pinsala. Sa susunod na seksyon, ipapakita namin kung paano nade-detect, hinaharangan, at inaayos ng Xygeni ang mga banta na ito sa iyong... SDLC.
Paano Pinoprotektahan ng Xygeni ang mga Laro sa GitHub, mga Hindi Na-block na Proyekto, at CI/CD Pipelines
Kapag lumilitaw ang mga mapanganib na pattern sa mga repo ng laro sa GitHub, nagbibigay ang Xygeni ng isang full-stack na depensa upang pigilan ang mga banta bago pa man nito makompromiso ang iyong mga system o supply chain.
1. Maagang Babala: Real-Time na Pagtuklas ng Malware sa mga Laro at Dependensya ng GitHub
Xygeni patuloy na nag-i-scan ng mga bagong package sa NPM, Maven, PyPI, at marami pang iba. Kabilang dito ang mga package na naka-embed sa mga hindi inaasahang lugar, tulad ng mga game repo o mga proyekto ng laro na hindi na-unblock ng github na ibinahagi sa mga forum o network ng paaralan. Kung may matagpuang kahina-hinalang component, awtomatikong ikinukuwarentenas ito ng Xygeni, hinaharangan ang paggamit nito sa iyong mga dependency, at nagpapadala ng mga real-time na alerto sa iyong team. Pinipigilan nito ang mga malisyosong payload na makapasok sa iyong codebase o CI/CD pipeline.
2. May Kamalayan sa Pag-abot SCA may Matalinong Pagbibigay-Prayoridad
Sa halip na labis na bigyan ng mga alerto ang iyong koponan, Xygeni sinusuri kung ang isang kahinaan ay aktwal na ginagamit sa iyong code (kakayahang maabot) at isinasama ang pagmamarka ng panganib (EPSS, epekto sa negosyo) upang maipakita ang mga pinakamahahalagang isyu. Malaki ang nababawasan nito sa ingay at tinitiyak na kikilos ang iyong koponan sa kung ano ang tunay na mahalaga.
3. Awtomatikong Remediation Gamit ang Pull Requests
Kapag natukoy ang isang kahinaan o malisyosong dependency gamit ang isang kilalang solusyon, awtomatikong lumilikha ang Xygeni ng Pull Request para i-upgrade o ayusin ang isyu. Pinapabilis nito ang oras ng pagtugon, nililimitahan ang manu-manong trabaho, at pinapanatili ang iyong pipeline ligtas.
4. CI/CD Mga Kontrol sa Seguridad upang Harangan ang mga Malisyosong Build
Nakikipag-ugnayan ang Xygeni sa build pipelines sa pamamagitan ng GitHub Actions, Jenkins, GitLab, Azure Pipelines, at iba pa. Ini-scan nito ang mga build script, Dockerfile, at CI/CD mga config para sa mga kahina-hinalang command, tulad ng mga reverse shell o install script, at maaaring harangan ang mga build kung may matukoy na mapanganib na code.
5. Bumuo ng Integridad sa pamamagitan ng mga Patotoo na Sumusunod sa SLSA
Ang Build Security Ang modyul ay lumilikha ng mga nilagdaang patunay kasunod ng SLSA at in‑toto standards, pag-embed ng metadata sa pinagmulan, mga dependency, SBOM, at mga pagsubok. Kung may anumang hindi awtorisadong pagbabago na mangyari, mabibigo ang pagpapatunay ng pagpapatunay at ang pipeline awtomatikong humihinto.
6. Pagtuklas ng Anomalya sa SCM at mga Artipakto ng CI
Patuloy na sinusubaybayan ng Xygeni ang iyong source code at mga CI environment upang matukoy ang mga hindi pangkaraniwang pag-uugali, tulad ng commitpaglampas sa proteksyon ng sangay, mga hindi kilalang gumagamit, o mga hindi inaasahang pagbibigay ng token. Kasama ang SAST makina, tinutukoy nito ang mga nakatagong backdoor o mga script na iniksyon bago ang pagsasama o pag-deploy.
7. Awtomatikong Pagtuklas ng Asset at ASPM visibility
Nagtatayo si Xygeni ng live na imbentaryo ng iyong kabuuan SDLC ecosystem, kabilang ang mga repository, mga kolaborator, pipelinemga s, dependencies, at cloud infra. Ang visibility na ito ay nagbibigay-daan sa dynamic risk prioritization, compliance mappings (hal. NIS2, DORA), at audit-ready evidence nang hindi ginagambala ang mga kasalukuyang workflow.
Ang Kahulugan ng Mga Laro sa GitHub para sa Mga Ligtas na Dev: Manatiling Mausisa, Manatiling Ligtas
- Kung ang isang repo ay naglalaman ng isang nakatagong build script na nagda-download ng malisyosong code (hal. isang post-install na PowerShell script), ifa-flag at haharangan ito ng Xygeni bago isagawa.
- Kapag pinagsasama ang code na tumutukoy sa isang kahina-hinalang dependency, hinaharangan ito ng Xygeni at nag-aalok ng auto-fix sa pamamagitan ng Pull Request.
- Kung ang isang proyektong naka-host sa GitHub Pages ay naglalaman ng mga nakatagong malisyosong script, ang Xygeni's SCA at natutukoy ang mga ito ng pagtukoy ng malware kahit na isinasagawa lamang ang mga ito habang naglo-load ang pahina.
- Magtayo pipelinetatanggihan ni s commitkung ang mga built artifact o config ay hindi pumasa sa mga attestation check, na pumipigil sa mga nakompromisong build na makarating sa produksyon.
Gamit ang Xygeni, maaari kang patuloy na tumuklas at sumubok mga larong github nang may kumpiyansa. Bawat hakbang, mula sa pag-clone hanggang sa pag-deploy, ay pinangangalagaan. Nananatiling mausisa ang mga developer, pipelinemanatiling ligtas, at mananatiling malinis ang iyong supply chain.




