MAESTRO-NERO

CyberSecurty انضم الى قناتنا على التلجرام هنا
الصفحة الرئيسية
Cyber Security

133 backdoored GitHub repos uncovered

اكتشاف أكثر من 200 مستودع GitHub محمل ببرمجيات خبيثة تستهدف اللاعبين والمطورين بحملة "فرقة الموز".


اكتشاف أكثر من 200 مستودع GitHub محمل ببرمجيات خبيثة في حملة تستهدف اللاعبين والمطوّرين

نظرة عامة على الحملة

كشفت فرق الأمن السيبراني مطلع ٢٠٢٥ عن حملة عرفتها باسم "فرقة الموز" (Banana Squad)، تضم أكثر من ٦٧ مستودعًا زُوّر على GitHub، يتظاهر بتقديم أدوات اختراق مبنية على Python، لكنه يوزّع برمجيات خبيثة تتسلل إلى الأجهزة.

تُعد هذه الحملة امتدادًا لمبادرات سابقة بدأت عام ٢٠٢٣، حيث تم نشر حزم مزيفة عبر PyPI حملت أدوات سرقة معلومات من أنظمة Windows، وتحميلها أكثر من ٧٥,٠٠٠ مرة.

آلية الهجوم وأهدافه

  • Pretends to be tools: مثل “Discord account cleaner” و“Fortnite External Cheat” و“TikTok username checker” وغيرها.
  • بعد تحميلها، تُنشط برمجيات خلفية تتسلل إلى محفظة Exodus للـ cryptocurrency، وترسل البيانات إلى خادم خارجي (dieserbenni[.]ru).
  • عند اكتشافها، أُزيلت جميع المستودعات من منصة GitHub.

الاتجاهات الأوسع: GitHub كموزّع خبيث

بات GitHub يلعب دورًا متزايدًا كمنصة لتوزيع البرمجيات الخبيثة:

  • كشف Trend Micro عن ٧٦ مستودعًا ضارًا ضمن حملة يُطلق عليها “Water Curse”، تهدف إلى سرقة بيانات الجلسات والمتصفحات وتوفير وصول عن بُعد.
  • أقلعت Check Point حول شبكة “Stargazers Ghost Network” التي تستهدف مستخدمي Minecraft عبر مستودعات تصيد ونشر برمجيات خبيثة، وتستخدم حسابات وهمية (Ghost) لتعزيز الشعبية الوهمية عبر الإعجابات والاشتراكات.
  • سبقتها Checkmarx (أبريل ٢٠٢٤) باستخدام أسلوب مماثل لزيادة ظهور هذه المستودعات سمتها بشكل مصطنع لتبرز في نتائج البحث.

النشاطات الأخيرة والتهديدات المكتشفة

  • في شهر يونيو ٢٠٢٥، أبلغت Sophos عن المستودع “Sakura‑RAT” الذي حمل برمجيات خبيثة ضمن عملية بناء مُسبق (PreBuild) على Visual Studio، تقلّد عمليات سرقة بيانات وتحكم عن بُعد مثل RAT.
  • تم رصد ١٣٣ مستودعًا مصابًا، منها ١١١ تستخدم backdoor ضمن PreBuild، والبقية برمجيات خبيثة مبثوثة في Python وJavaScript وScreensaver، لتنفيذ أنشطة مثل أخذ لقطات شاشة، سرقة البيانات، وتعزيز الوصول عبر Telegram، مع صُلب حملات تتضمن AsyncRAT وRemcos RAT وLumma Stealer.
  • من المعتقد أن الجناة يستخدمون أسلوب توزّيع كخدمة (DaaS) منذ أغسطس ٢٠٢٢، عبر آلاف الحسابات، مدعومة بروابط تُنشر على خوادم Discord وقنوات YouTube.

نصائح للمطورين والمستخدمين

  • لا تثق بمستودعات GitHub غير الرسمية أو المشهورة، حتى لو ظهرت ضمن أول نتائج البحث.
  • راجع التقييمات، عدد النجوم، والتحديثات الأخيرة، وتحقّق من توقيع الكود والمصادقة الرسمية حين يكون ذلك ممكنًا.
  • يفضّل استخدام أدوات فحص الكود المفتوح المصدر (SAST/DAST) لضمان سلامة المحتوى قبل دمجه أو تشغيله.