GitHub
هل يمكنك أن تتخيل عالمًا حيث يتعين عليك في كل مرة تريد الذهاب إلى مكان ما اختراع العجلة وبناء دراجة من الصفر؟ نحن لا نستطيع ذلك أيضًا. لماذا نعيد اختراع شيء موجود بالفعل ويعمل بشكل جيد؟ ينطبق المنطق نفسه على البرمجة: يواجه المطورون مهام روتينية كل يوم، وبدلاً من اختراع عجلاتهم ودراجاتهم الخاصة (التي قد لا تكون على المستوى المطلوب)، فإنهم ببساطة يحصلون على تعليمات برمجية لدراجات جاهزة من مستودعات GitHub مفتوحة المصدر.
هذا الحل متاح لأي شخص – بما في ذلك المجرمين الذين يستخدمون أفضل تعليمات برمجية مفتوحة المصدر مجانية في العالم كطُعم للهجمات. وهناك الكثير من الأدلة التي تدعم ذلك، وإليكم أحدثها: اكتشف خبراءنا حملة خبيثة نشطة، باسم GitVenom، تستهدف مستخدمي GitHub.
ماذا يعني GitVenom؟
GitVenom هو الاسم الذي أطلقناه على هذه الحملة الخبيثة، حيث أنشأ جهات مجهولة أكثر من 200 مستودع تحتوي على مشاريع وهمية بداخلها تعليمات برمجية ضارة: روبوتات Telegram، وأدوات لاختراق لعبة Valorant، وأدوات أتمتة لتطبيق Instagram، ومديري محافظ Bitcoin. وللوهلة الأولى، تبدو جميع المستودعات شرعية. وما يثير الإعجاب بشكل خاص هو ملف README.MD المصمم بإتقان — وهو دليل لكيفية استخدام التعليمات البرمجية — مع تعليمات تفصيلية بلغات متعددة. بالإضافة إلى ذلك، أضاف المهاجمون علامات متعددة إلى مستودعاتهم.
استخدم المهاجمون الذكاء الاصطناعي لكتابة تعليمات مفصلة بعدة لغات
يوجد مؤشر آخر يعزز الشرعية الظاهرية لهذه المستودعات هو العدد الكبير من التعديلات. وتحتوي مستودعات المهاجمين على أعداد هائلة منها – عشرات الآلاف. لم يكن المهاجمون، بالطبع، يجرون تحديثات لكل مستودع من من بين 200 مستودع يدويًا للحفاظ على المصداقية، بل استخدموا ببساطة ملفات الطابع الزمني التي يتم تحديثها كل بضع دقائق. وخلق مزيج الوثائق التفصيلية والتعديلات العديدة الوهم بأن التعليمات البرمجية أصلية وآمنة للاستخدام.
GitVenom: عامان من النشاط
بدأت الحملة منذ وقت طويل: بلغ عمر أقدم مستودع مزيف عثرنا عليه حوالي عامين. وفي هذه الأثناء، أثر GitVenom على المطورين في روسيا والبرازيل وتركيا ودول أخرى. وغطى المهاجمون مجموعة واسعة من لغات البرمجة: تم العثور على تعليمات برمجية ضارة في مستودعات Python وJavaScript وC وC# وC++.
فيما يتعلق بوظائف هذه المشاريع، فإن الميزات الموصوفة في ملف README لم تتطابق حتى مع التعليمات البرمجية الفعلية — في الواقع، لا تفعل التعليمات البرمجية نصف ما تدعيه. لكن بفضلها، ينتهي الأمر بالضحايا إلى تنزيل مكونات خبيثة. وهي تشمل:
- برنامج سرقة Node.js يجمع أسماء المستخدمين وكلمات المرور وبيانات محفاظ العملات المشفرة وسجل المستعرض، ويضغط البيانات المسروقة في أرشيف .7z، ويرسلها إلى المهاجمين عبر Telegram.
- AsyncRAT – فيروس حصان طروادة مفتوح المصدر للإدارة عن بعد، والذي يمكن أن يعمل أيضًا كمسجل لضغطات المفاتيح.
- Quasar – مدخل خلفي مفتوح المصدر.
- برنامج تلاعب بالنسخ واللصق يبحث في الحافظة عن عناوين محفظة العملات المشفرة ويستبدلها بعناوين يتحكم بها المهاجم. والجدير بالذكر أنه في نوفمبر 2024، تلقت محفظة القراصنة المستخدمة في هذا الهجوم إيداعًا لمرة واحدة بقيمة تقارب 5 بيتكوين (حوالي 392,000 دولار أمريكي في وقت الدراسة).
ويمكنك قراءة المزيد عن تفاصيل هذه الحملة الخبيثة في بحثنا الكامل المنشور على SecureList.
كيف تحمي نفسك من التعليمات البرمجية الخبيثة على GitHub
باختصار، أفضل وسيلة للدفاع هي اليقظة. بما أن أكثر من 100 مليون مطور يستخدمون موقع GitHub، فمن المرجح أن يستمر المهاجمون في نشر التعليمات البرمجية الضارة عبر هذه المنصة الشهيرة. والسؤال الوحيد هو كيف سيفعلون ذلك — قبل عقد من الزمان، لم يكن أحد يتخيل أن المهاجمين سيكونون قادرين على تنفيذ حملات مثل GitVenom لفترة طويلة وبهذا الإصرار. لذلك، يجب على كل مطور الحفاظ على ممارسات الأمن الإلكتروني السليمة عند استخدام منصة GitHub.
- حلل التعليمات البرمجية قبل دمجها في مشروع موجود.
- استخدم الحماية من البرامج الضارة على كل من أجهزة الكمبيوتر والهواتف الذكية.
- تحقق بعناية من المؤشرات الأقل وضوحًا : حسابات المساهمين، وعدد النجوم (الإعجابات)، وتاريخ إنشاء المشروع. إذا كان تاريخ إنشاء الحساب قبل ثلاثة أيام، والمستودع قبل يومين، وكانت لديه نجمة واحدة فقط، فهناك احتمال كبير أن يكون المشروع مزيفًا والتعليمات البرمجية خبيثة.
- تجنب تنزيل الملفات من الروابط المباشرة إلى GitHub المشتركة في المحادثات أو القنوات المشبوهة أو على مواقع الويب غير الموثوقة.
- إذا عثرت على مستودع مشبوه، فأبلغ عنه إلى GitHub — قد يؤدي هذا إلى إنقاذ أجهزة الآخرين غير المحمية عن طريق حل أمان موثوق.
النصائح