اختر منطقتك 
حالة الطقس 
كشفت دراسة بحثية جديدة اطلعت عليها WIRED أن شبكة سرية مكونة من حوالي 3000 حساب “شبح” على موقع GitHub كانت تتلاعب بهدوء بالصفحات على موقع استضافة التعليمات البرمجية للترويج للبرامج الضارة وروابط التصيد.
وفقًا للباحثين في شركة الأمن السيبراني Check Point، منذ يونيو/حزيران من العام الماضي على الأقل، كان مجرم سيبراني أطلقوا عليه اسم “Stargazer Goblin” يستضيف مستودعات أكواد ضارة على المنصة المملوكة لشركة Microsoft. GitHub هو أكبر موقع ويب مفتوح المصدر في العالم، ويستضيف أعمال ملايين المطورين. بالإضافة إلى تحميل مستودعات أكواد ضارة، كان Stargazer Goblin يعزز الصفحات باستخدام أدوات مجتمع GitHub الخاصة.
يقول أنطونيس تيريفوس، مهندس عكسي للبرمجيات الخبيثة في شركة تشيك بوينت والذي اكتشف السلوك الخبيث، إن الشخصية وراء الشبكة تستخدم حساباتها المزيفة لتمييز الصفحات الخبيثة بنجمة وتقسيمها ومراقبتها. تساعد هذه الإجراءات – التي تشبه إلى حد كبير الإعجاب والمشاركة والاشتراك على التوالي – في جعل الصفحات تبدو شائعة وحقيقية. كلما زاد عدد النجوم، كلما بدت الصفحة أكثر واقعية. يقول تيريفوس: “لقد بدت مستودعات البرامج الضارة شرعية حقًا”.
يقول تيريفوس عن الشخص الذي يقف وراء هذه الشخصية: “الطريقة التي طورها بها ذكية حقًا، حيث استغل طريقة عمل GitHub”. وبينما كان مجرمو الإنترنت يسيئون استخدام GitHub لسنوات، حيث قاموا بتحميل أكواد ضارة وتكييف مستودعات شرعية، يقول تيريفوس إنه لم ير من قبل شبكة من الحسابات المزيفة تعمل بهذه الطريقة على المنصة. يتم تنسيق شراء وبيع المستودعات والنجوم على قناة Telegram المرتبطة بالجرائم الإلكترونية والأسواق الإجرامية. سبق أن أبلغت WIRED عن أسواق GitHub السوداء الأخرى.
كانت شبكة Stargazers Ghost، التي أطلق عليها Check Point اسم أحد الحسابات الأولى التي رصدتها، تنشر مستودعات GitHub الخبيثة التي تقدم تنزيلات لوسائل التواصل الاجتماعي والألعاب وأدوات العملات المشفرة. على سبيل المثال، قد تدعي الصفحات توفير التعليمات البرمجية لتشغيل شبكة VPN أو ترخيص إصدار من برنامج Photoshop من Adobe. وتقول الأبحاث إن هذه الصفحات تستهدف في الغالب مستخدمي Windows، وتهدف إلى الاستفادة من الأشخاص الذين يبحثون عن برامج مجانية عبر الإنترنت.
يتقاضى المشغل الذي يقف وراء الشبكة رسومًا من قراصنة آخرين لاستخدام خدماته، والتي تطلق عليها Check Point “التوزيع كخدمة”. وتقول Check Point إن الشبكة الضارة تم رصدها وهي تشارك أنواعًا مختلفة من برامج الفدية والبرمجيات الخبيثة التي تسرق المعلومات، بما في ذلك Atlantida Stealer وRhadamanthys وLumma Stealer. يقول Terefos إنه اكتشف الشبكة أثناء البحث في حالات Atlantida Stealer. يقول الباحث إن الشبكة قد تكون أكبر مما يتوقعه، حيث رأى أيضًا حسابات GitHub المشروعة يتم الاستيلاء عليها باستخدام تفاصيل تسجيل الدخول المسروقة.
يقول أليكسيس ويلز، نائب رئيس عمليات الأمان في GitHub: “لقد قمنا بتعطيل حسابات المستخدمين وفقًا لسياسات الاستخدام المقبولة في GitHub، والتي تحظر نشر المحتوى الذي يدعم بشكل مباشر الهجمات النشطة غير القانونية أو حملات البرامج الضارة التي تسبب أضرارًا فنية”. “لدينا فرق مخصصة للكشف عن المحتوى والحسابات التي تنتهك هذه السياسات وتحليلها وإزالتها”.
يضم موقع GitHub أكثر من 100 مليون مستخدم ساهموا بأكثر من 420 مليون مستودع على المنصة. ونظراً لاتساع المنصة، فليس من المستغرب أن يحاول مجرمو الإنترنت والمتسللون إساءة استخدامها. في السنوات الأخيرة، كان الباحثون يرسمون خرائط لحالات النجوم المزيفة، ويرصدون أكواداً خطيرة مخفية في المشاريع، ويواجهون هجمات متزايدة على سلسلة التوريد ضد برامج مفتوحة المصدر، ويشاهدون تعليقات تُستخدم لنشر البرامج الضارة.
