كشف تقرير أمني حديث عن ظهور نسخة خبيثة من تطبيق Triton لنظام macOS على منصة GitHub، مستغلةً المستودعات مفتوحة المصدر لنشر برمجيات خبيثة. يأتي هذا الاكتشاف في ظل تصاعد المخاوف الأمنية المتعلقة باستغلال المنصات الشهيرة لتوزيع التهديدات السيبرانية.
ظهر المستودع الاحتيالي، الذي أنشئ تحت حساب “JaoAureliano”، كنسخة طبق الأصل من تطبيق Triton الأصلي الذي طوره Otávio C. وبدلاً من توفير البرنامج الحقيقي، قام هذا النسخة الخبيثة بتوجيه المستخدمين إلى تنزيل ملف مضغوط يحتوي على برمجيات خبيثة مصممة لأنظمة ويندوز.
كانت آلية الهجوم واضحة، حيث تم تضمين روابط تنزيل خبيثة بشكل متكرر في ملف README الخاص بالمستودع. وضع المهاجم حزمة البرمجيات الخبيثة (Software_3.1.zip) داخل دليل Xcode colorset.
وكان المستخدمون الذين قاموا بتنزيل هذا الأرشيف، الذي يبلغ حجمه 1.33 ميجابايت، يحصلون على ملفات تنفيذية تهدف إلى اختراق أنظمة ويندوز، على الرغم من أن Triton هو تطبيق مخصص لنظام macOS فقط. ويُسلط هذا الاكتشاف الضوء على أهمية التحقق من مصدر البرمجيات.
اكتشف الباحث الأمني Brennan المستودع الخبيث بعد ظهور مناقشات في أحد خوادم IRC حول نشاط تصرف مشبوه لنسخ المستودعات. وفي وقت الاكتشاف، أظهر تحليل العينة عبر VirusTotal معدل كشف بنسبة 12 من أصل 66 بائعًا، مع تجزئة الملف 39b29c38c03868854fb972e7b18f22c2c76520cfb6edf46ba5a5618f74943eac.
عرض حساب GitHub عدة مؤشرات حمراء. بدت سجلات الالتزام (commit history) متفرقة وتحتوي على مستودعين فقط، ومع ذلك، تم التلاعب ببياني المساهمة بشكل مصطنع باستخدام نصوص برمجية آلية لإضافة تواريخ وهمية لالتزامات قديمة. تضمنت مواضيع المستودع علامات غير عادية مثل “malware” (برمجيات خبيثة) و”deobfuscation” (فك التشويش) و”symbolic-execution” (التنفيذ الرمزي)، ربما في محاولة للتظاهر بأنها محتوى أمني تعليمي.
على الرغم من تقديم تقارير متعددة إلى GitHub، لم تقم المنصة بإزالة الحساب الخبيث في وقت الاكتشاف. يمثل هذا الحادث نمطًا أوسع لاستغلال GitHub لتوزيع البرمجيات الخبيثة، مع استمرار حملات مماثلة.
استغلال GitHub لنشر البرمجيات الخبيثة
تُعد هذه الحادثة مثالاً حديثًا على كيفية استغلال المهاجمين لمنصات التطوير مفتوحة المصدر لنشر برمجياتهم الخبيثة. تستغل هذه الهجمات الثقة التي يضعها المطورون في مثل هذه المنصات، مما يجعل من الصعب على المستخدمين التمييز بين البرامج المشروعة والتهديدات.
من جهة أخرى، فإن الطبيعة مفتوحة المصدر لتطبيقات مثل Triton تجعلها هدفًا جذابًا للمهاجمين الذين يمكنهم بسهولة نسخ الكود وتعديله لأغراض خبيثة. إن استخدام حسابات تبدو شرعية، مع تلاعب ببيانات المساهمات، يزيد من إرباك المتحققين.
في المقابل، فإن قيام الباحثين الأمنيين بالكشف عن هذه التهديدات يساعد في رفع مستوى الوعي. كما أن جهود الإبلاغ عن هذه المستودعات المشبوهة إلى المنصات المعنية مثل GitHub، على الرغم من بطء الاستجابة أحيانًا، تعتبر خطوة ضرورية لمكافحة انتشار البرمجيات الخبيثة.
آلية الإصابة وتكتيكات التهرب
تستخدم البرمجية الخبيثة سلسلة تنفيذ متعددة المراحل تبدأ بفك ضغط الأرشيف باستخدام 7za.exe بكلمة المرور “infected”. تستفيد الحمولة (payload) من LuaJIT للنصوص البرمجية وتطبق تقنيات التهرب بما في ذلك اكتشاف بيئة التصحيح (debug environment)، وتأخيرات زمنية طويلة لتجاوز الصناديق الرملية (sandboxes)، واكتشاف الافتراضية (virtualization detection).
تُنشئ اتصالات الشبكة قنوات قيادة وتحكم (command-and-control) متنكرة على أنها حركة مرور Microsoft Office من خلال نطاقات مثل nexusrules.officeapps.live.com و svc.ha-teams.office.com، بينما تقوم باكتشاف عناوين IP عبر ip-api.com واتصالات بلوكتشين إلى polygon-rpc.com.
تُجري البرمجية الخبيثة استطلاعًا للنظام عن طريق التحقق من البيئات التطويرية بما في ذلك تثبيتات Java و Python و .NET، بالإضافة إلى سجلات برامج الأمان. يتم الوصول إلى مفاتيح التسجيل لجمع بيانات التكوين وإنشاء الاستمرارية. تستهدف عمليات الملفات المجلدات النظامية لزيادة الامتيازات.
يجب على المنظمات التحقق من أصالة المستودعات قبل تنزيل الملفات من النسخ (forks) على GitHub. يُنصح فرق الأمن بالمراقبة لمعرفات الملفات ومؤشرات الشبكة، مع تطبيق حلول الكشف على نقاط النهاية.