كشف باحثون في الأمن السيبراني عن حملة خبيثة جديدة استغل فيها المهاجمون أكثر من 200 مستودع GitHub، حيث أدرجوا أدوات مزيفة لاختبار الاختراق تعتمد على Python، لكنها في الواقع تحتوي على برمجيات طروادة مصممة لسرقة البيانات.
وقد أطلقت شركة ReversingLabs على هذا النشاط اسم “Banana Squad”، وتعتبره امتدادًا لحملة خبيثة تم رصدها في عام 2023، استهدفت مستودع Python Package Index (PyPI) بحزم مزيفة تم تحميلها أكثر من 75,000 مرة، واحتوت على أدوات لسرقة المعلومات من أجهزة Windows.
وأوضحت التحليلات أن المهاجمين أنشأوا مستودعات تحمل أسماء مشابهة لمشروعات برمجية شرعية، مستهدفين المستخدمين الباحثين عن أدوات لتنظيف الحسابات، وغش الألعاب، مثل:
-
Discord Account Cleaner
-
Fortnite External Cheat
-
TikTok Username Checker
-
PayPal Bulk Account Checker
وقد أزالت GitHub هذه المستودعات المزيفة بالكامل بعد الإبلاغ عنها.
GitHub كساحة لتوزيع البرمجيات الخبيثة
قال الباحث روبرت سيمونز من ReversingLabs:
“البرمجيات الخبيثة والكودات المزروعة في مستودعات مفتوحة مثل GitHub أصبحت أكثر شيوعًا، وتشكل تهديدًا متصاعدًا على سلسلة التوريد البرمجية.”
وأضاف:
“من الضروري للمطورين التأكد من أن المستودعات التي يعتمدون عليها تحتوي بالفعل على المحتوى المتوقع.”
موجة هجمات أوسع
تأتي هذه الاكتشافات بالتزامن مع حملات خبيثة أخرى تستغل GitHub لتوزيع برمجيات ضارة، منها:
-
Water Curse: حملة رصدتها Trend Micro تستخدم 76 مستودعًا خبيثًا لنشر برمجيات متعددة المراحل تسحب بيانات الدخول وملفات التصفح وتمنح المهاجمين إمكانية الوصول الدائم إلى الأنظمة المصابة.
-
Stargazers Ghost Network: شبكة خبيثة تم الكشف عنها من قبل Check Point، تستهدف لاعبي Minecraft عبر مستودعات مزيفة على GitHub، وتستخدم حسابات وهمية تنشر، وتتابع، وتضع نجومًا مزيفة على مستودعات خبيثة لرفع شعبيتها.
كما أشارت شركة Checkmarx سابقًا في أبريل 2024 إلى أن هذه الشبكة تستخدم حيلًا تضليلية مثل التحديثات المتكررة والنجوم الوهمية لرفع ترتيب المستودعات على نتائج بحث GitHub.
وتشمل هذه المستودعات المزيفة مواضيع جذابة مثل أدوات تتبع أسعار العملات الرقمية، وتطبيقات للرهان الإلكتروني، وأدوات للغش في الألعاب.
استهداف مجرمي الإنترنت المبتدئين
كشفت Sophos عن استغلال المهاجمين لحاجة المخترقين المبتدئين لأدوات جاهزة، حيث يتم إدراج أبواب خلفية (Backdoors) داخل مستودعات تبدو بريئة، لإصابتهم بأدوات تجسس وسرقة معلومات.
من بين الحالات البارزة:
-
Sakura-RAT: مستودع خبيث يحتوي على كود يُصاب به من يقوم بترجمة الأداة، ويؤدي إلى سرقة المعلومات وتثبيت برمجيات تحكم عن بعد مثل AsyncRAT وRemcos RAT وLumma Stealer.
توزع هذه الأبواب الخلفية عبر:
-
أحداث Visual Studio PreBuild
-
ملفات Python
-
شاشات توقف Screensaver
-
كود JavaScript
وقالت Sophos إنها رصدت 133 مستودعًا مصابًا، منها 111 تحتوي على باب خلفي عبر PreBuild، والباقي عبر ملفات Python وJavaScript.
نموذج توزيع كخدمة (DaaS)
تُرجح Sophos أن الحملة جزء من عملية توزيع برمجيات خبيثة كخدمة (DaaS) بدأت منذ أغسطس 2022، وتستخدم آلاف حسابات GitHub لنشر مستودعات خبيثة بمواضيع موجهة نحو اللاعبين والمخترقين المبتدئين.
ورغم عدم وضوح طريقة النشر الكاملة، إلا أن الأدلة تشير إلى استخدام روابط تنشر عبر:
-
خوادم Discord
-
قنوات YouTube
تحذير وتوقعات
“من غير الواضح ما إذا كانت هذه الحملة مرتبطة مباشرة بالحملات السابقة، لكن النمط أصبح شائعًا وفعالًا، ومن المحتمل أن يستمر بأشكال جديدة في المستقبل”، بحسب Sophos.
وقد تنتقل هذه الهجمات مستقبلًا لاستهداف فئات جديدة من المستخدمين، وليس فقط اللاعبين أو الهاكرز الهواة.
