اكتشف مجرمو الإنترنت طريقة خطيرة لخداع المطورين لتحميل برمجيات خبيثة عبر استغلال آلية عمل GitHub. يسعى هذا الهجوم إلى إيهام المستخدمين بشرعية المثبتات المزيفة لـ GitHub Desktop.
بين شهري سبتمبر وأكتوبر 2025، استهدفت هذه الحملة في المقام الأول مستخدمين في أوروبا والمنطقة الاقتصادية الأوروبية، لكن الإصابات امتدت إلى اليابان ومناطق أخرى. تمثل البرمجيات الخبيثة، المتخفية في شكل مثبت أدوات تطوير قياسية، تهديدًا خطيرًا للمطورين الذين يعتمدون على GitHub في عملهم اليومي.
استغلال GitHub Desktop في توزيع البرمجيات الخبيثة
تبدأ سلسلة الهجوم بإنشاء مجرمي الإنترنت لحسابات GitHub مؤقتة ونسخ مستودع GitHub Desktop الرسمي. يقومون بعد ذلك بتعديل روابط التنزيل في ملف README لتوجيه المستخدمين نحو المثبت الخبيث بدلاً من الرابط الشرعي. يقوم المهاجمون بالترويج لهذه الملفات المصابة من خلال الإعلانات المدفوعة، مستهدفين عمليات البحث عن “GitHub Desktop”.
يستغل المهاجمون ميزة في تصميم GitHub تسمح بظل الالتزامات (commits) من المستودعات المنسوخة مرئية تحت نطاق المستودع الرسمي، حتى بعد حذف النسخة الأصلية أو الحساب. هذا الأسلوب، المعروف بـ “Repo Squatting”، يجعل من الصعب للغاية على GitHub تتبع وإزالة المحتوى الضار.
حدد محللو GMO Cybersecurity أن هذه الحملة تمثل تهديدًا متطورًا ومستمرًا يتطور باستمرار. المثبت الخبيث لنظام Windows، الذي تم اكتشافه بواسطة الباحثين باسم GitHubDesktopSetup-x64.exe وبحجم ملف 127.68 ميجابايت، يعمل كمحمّل متعدد المراحل.
تكتيكات التهرب المتقدمة
تم اكتشاف عينات خبيثة مماثلة متخفية تحت أسماء تطبيقات أخرى، بما في ذلك مثبتات Chrome وNotion و1Password وBitwarden، تعود إلى مايو 2025.
آلية العدوى وتكتيكات التهرب المتقدمة
تكشف آلية العدوى عن خداع تقني متطور. يبدو المثبت الخبيث كتطبيق C++ عادي على السطح، لكن تحليل معلومات التصحيح (debug information) يكشف أنه في الواقع تطبيق .NET أحادي الملف مدمج في ملف تنفيذي واحد يسمى AppHost.
التخفي الخبيث الحقيقي لـ .NET مخبأ داخل قسم التراكب (overlay section) للملف، مما يجعله غير مرئي لأدوات الفحص البسيطة. ما يثير القلق بشكل خاص هو أن البرنامج الضار يدمج واجهة برمجة تطبيقات تعتمد على وحدة معالجة الرسوميات (GPU) تسمى OpenCL لمنع التحليل عن قصد في بيئات العزل القياسية.
تفتقر معظم صناديق الاختبار الأمنية والأجهزة الافتراضية إلى برامج تشغيل وحدات معالجة الرسوميات أو دعم OpenCL، مما يجبر باحثي الأمن على إجراء التحليلات على أجهزة فعلية معتمدة على وحدات معالجة رسوميات حقيقية قبل فهم السلوك الحقيقي للبرنامج الضار. يطلق على هذه التقنية اسم “GPUGate”، وتمثل حماية متعمدة ضد التحليل تهدف إلى إبطاء باحثي الأمن.
إضافة إلى ذلك، يستخدم البرنامج الضار عن قصد تكتيكات تحايل في الشفرة لإرباك المحللين الذين يحاولون استعادة مفاتيح فك التشفير بشكل ثابت.