أخبار المنزل* حدد باحثو الأمن السيبراني مخططًا واسع النطاق يتضمن أكثر من 67 مستودع أداة بايثون مروجة على GitHub.
تستهدف الحملة المستخدمين الذين يبحثون عن أدوات تنظيف الحسابات، والغش في الألعاب، وغيرها من الأدوات عن طريق تسليم شفرة ضارة بدلاً من البرمجيات الحقيقية.
هذه التهديدات يمكن أن تسرق بيانات الاعتماد وبيانات المتصفح ورموز الجلسة، وحتى حقن البرمجيات الخبيثة في محافظ العملات المشفرة.
GitHub قامت منذ ذلك الحين بإزالة جميع المستودعات الضارة المعروفة المرتبطة بهذه الحملة.
ترتبط نفس الأساليب بعدة مجموعات تنشر البرمجيات الخبيثة من خلال تقنيات مثل الشهرة المزيفة والمستودعات المستنسخة.
اكتشف الباحثون أن أكثر من 67 مستودعًا على GitHub زعمت أنها تقدم أدوات قرصنة وأدوات مساعدة تعتمد على بايثون، لكن بدلاً من ذلك، قدمت برامج مصابة مصممة لسرقة البيانات الحساسة. كانت الحملة نشطة منذ عام 2023 على الأقل وتستهدف الأفراد الذين يبحثون عن أدوات تنظيف الحسابات، وغش الألعاب، وتطبيقات مشابهة.
إعلان - الفاعل المهدد وراء هذا النشاط، المعروف باسم فرقة الموز، استخدم مستودعات وهمية تقلد المستودعات الشرعية. هذه المستودعات وزعت برامج تحتوي على ميزات خبيثة مخفية، لا سيما سرقة المعلومات من أنظمة ويندوز وحقن الشيفرة في تطبيقات محافظ العملات المشفرة مثل إكزدوس. GitHub قد أزال جميع المستودعات المتأثرة بعد هذه الاكتشافات.
وفقًا لـ ReversingLabs، "تزداد الأبواب الخلفية والكودات المروجة في مستودعات الكود المصدر المتاحة علنًا مثل GitHub، وتُمثل نقطة هجوم متزايدة في سلسلة توريد البرمجيات." وقد حثت الشركة المطورين على التحقق من أن الكود الذي يستخدمونه موثوق.
أبلغت شركات الأمن السيبراني الأخرى عن تكتيكات مشابهة. تريند مايكرو اكتشفت مؤخرًا 76 مستودعًا خبيثًا إضافيًا مرتبطًا بمجموعة تُدعى Water Curse، والتي وزعت برامج ضارة متعددة المراحل لسرقة كلمات المرور وبيانات المتصفح. شيك بوينت أوضحت حملة نشطة أخرى تستخدم ما يُسمى بشبكة أشباح ستارغايزر لنشر برامج ضارة تستهدف مستخدمي ماين كرافت.
تشمل هذه الاستراتيجيات تعزيز ظهور المستودعات الضارة من خلال نجوم وهمية وتحديثات متكررة لتبدو كأعلى النتائج في بحث GitHub. وأشارت شركة Sophos إلى أن بعض الحملات تستهدف المجرمين السيبرانيين الهواة الذين يسعون إلى برامج ضارة سهلة الاستخدام، ليصبحوا ضحايا بأنفسهم.
وجد الباحثون أكثر من 133 مستودعًا يحتوي على أبواب خلفية في حملات ذات صلة، باستخدام طرق متنوعة مثل أحداث PreBuild في Visual Studio، وبرامج Python النصية، وملفات مستندة إلى المتصفح لتسليم البرامج الضارة. تبدو بعض هذه الجهود جزءًا من نموذج توزيع كخدمة، تستخدم عدة منصات اجتماعية مثل Discord و YouTube لنشر الروابط الضارة.
حذرت سوفوس، "لا يزال من غير الواضح ما إذا كانت هذه الحملة مرتبطة مباشرة ببعض أو بكل الحملات السابقة التي تم الإبلاغ عنها، لكن يبدو أن النهج شائع وفعال، ومن المحتمل أن يستمر بشكل أو آخر."
إعلان - #### المقالات السابقة:
تايلاند تسعى للحصول على آراء الجمهور بشأن قواعد إدراج العملات المشفرة الجديدة حتى 21 يوليو
قراصنة كوريون شماليون يستخدمون وظائف مزيفة في العملات المشفرة لنشر برمجيات خبيثة جديدة من نوع RAT
انخفضت عملة HYPE الخاصة بـ Hyperliquid بنسبة 6% بعد ارتفاعها القياسي
دائرة تضيق الفجوة مع زيادة حصة USDC في السوق على حساب USDT الخاص بـ Tether
إيلون ماسك يضيف المدفوعات والاستثمارات وبطاقات تحمل علامة X
إعلان -
شاهد النسخة الأصلية
المحتوى هو للمرجعية فقط، وليس دعوة أو عرضًا. لا يتم تقديم أي مشورة استثمارية أو ضريبية أو قانونية. للمزيد من الإفصاحات حول المخاطر، يُرجى الاطلاع على إخلاء المسؤولية.
هاكر يستخدمون أكثر من 67 مستودع GitHub Trojanized لنشر البرمجيات الخبيثة
أخبار المنزل* حدد باحثو الأمن السيبراني مخططًا واسع النطاق يتضمن أكثر من 67 مستودع أداة بايثون مروجة على GitHub.
وفقًا لـ ReversingLabs، "تزداد الأبواب الخلفية والكودات المروجة في مستودعات الكود المصدر المتاحة علنًا مثل GitHub، وتُمثل نقطة هجوم متزايدة في سلسلة توريد البرمجيات." وقد حثت الشركة المطورين على التحقق من أن الكود الذي يستخدمونه موثوق.
أبلغت شركات الأمن السيبراني الأخرى عن تكتيكات مشابهة. تريند مايكرو اكتشفت مؤخرًا 76 مستودعًا خبيثًا إضافيًا مرتبطًا بمجموعة تُدعى Water Curse، والتي وزعت برامج ضارة متعددة المراحل لسرقة كلمات المرور وبيانات المتصفح. شيك بوينت أوضحت حملة نشطة أخرى تستخدم ما يُسمى بشبكة أشباح ستارغايزر لنشر برامج ضارة تستهدف مستخدمي ماين كرافت.
تشمل هذه الاستراتيجيات تعزيز ظهور المستودعات الضارة من خلال نجوم وهمية وتحديثات متكررة لتبدو كأعلى النتائج في بحث GitHub. وأشارت شركة Sophos إلى أن بعض الحملات تستهدف المجرمين السيبرانيين الهواة الذين يسعون إلى برامج ضارة سهلة الاستخدام، ليصبحوا ضحايا بأنفسهم.
وجد الباحثون أكثر من 133 مستودعًا يحتوي على أبواب خلفية في حملات ذات صلة، باستخدام طرق متنوعة مثل أحداث PreBuild في Visual Studio، وبرامج Python النصية، وملفات مستندة إلى المتصفح لتسليم البرامج الضارة. تبدو بعض هذه الجهود جزءًا من نموذج توزيع كخدمة، تستخدم عدة منصات اجتماعية مثل Discord و YouTube لنشر الروابط الضارة.
حذرت سوفوس، "لا يزال من غير الواضح ما إذا كانت هذه الحملة مرتبطة مباشرة ببعض أو بكل الحملات السابقة التي تم الإبلاغ عنها، لكن يبدو أن النهج شائع وفعال، ومن المحتمل أن يستمر بشكل أو آخر."