المخاطر الحقيقية للبرامج النصية التي يتم تنزيلها من GitHub وكيفية حماية نفسك

  • يمكن لـ GitHub استضافة كل شيء بدءًا من التعليمات البرمجية المشروعة وحتى البرامج الضارة المتخفية في البرامج النصية والتبعيات وإثباتات المفهوم ومرفقات التعليقات.
  • تؤثر هذه التهديدات على كل من الفرق الفردية وسلسلة التوريد، والتكامل المستمر/التسليم المستمر، وبيانات الاعتماد، وبيانات الشركة.
  • إن الجمع بين التحليل الآلي والتحكم في التبعيات وحماية المستودع والوصول يقلل المخاطر بشكل كبير.
  • إن العمل بعقلية DevSecOps وعادات التحقق المستمرة يسمح لك بالاستفادة من GitHub دون التضحية بالأمان.
Daniel Terrasa

11 دقيقة

المخاطر الحقيقية للبرامج النصية التي يتم تنزيلها من GitHub

أصبح GitHub الملعب المفضل لملايين المطوريندروس تعليمية تبدو واعدة، ومستودعات مليئة بالأمثلة، ونصوص برمجية جاهزة للنسخ واللصق. من الشائع البحث عن "كيفية بناء شيء ما باستخدام Java أو Angular، إلخ" لينتهي بك الأمر إلى مقال يبدو جادًا، وشفرته المصدرية مرتبطة بمستودع عام. يسود شعور بالثقة التامة... لكن هذه الثقة ليست دائمًا في محلها.

والسؤال المنطقي هو: هل يمكنني الإصابة بفيروس بمجرد استنساخ مستودع أو تشغيل برنامج نصي على GitHub؟ ماذا يحدث إذا قام شخص ما بإنشاء دليل تعليمي متقن الصنع، لكنه استخدم المستودع كطعم لإدخال برامج ضارة؟ الإجابة المختصرة هي نعم، هناك مخاطر حقيقية، وهي لا تقتصر على "النقر المزدوج والإصابة": بل تؤثر على سلسلة توريد البرامج، وخطوط أنابيب التكامل المستمر/التسليم المستمر، وبياناتك، وحتى سمعة مشروعك.

هل يُعدّ تنزيل البرامج النصية والمشاريع من GitHub أمراً خطيراً؟

إن منصة GitHub ليست خبيثة بطبيعتها، ولكنها ليست ضمانة للأمان أيضاً. خدمة ضخمة حيث يمكن أن تتعايش التعليمات البرمجية الممتازة مع البرامج النصية الرديئة والحمولات الخبيثة المتطورة للغاية. لقد تعلم مجرمو الإنترنت أنه "إذا كان شيء ما مفيدًا للغاية، فلن يحظره أحد"، لذلك أصبح GitHub قناة مثالية لتوزيع البرامج الضارة المتخفية في صورة رمز شرعي.

استنساخ مستودع باستخدام git clone لا يصيبك بالسحرلكن الخطر يكمن في تجميع البرامج، أو تشغيل البرامج النصية، أو إطلاق الحاويات، أو دمج التبعيات دون التحقق منها. يستغل المهاجمون هذا الأمر تحديدًا: فهم يستفيدون من حقيقة أن العديد من المطورين ينسخون تعليمات ملف README وينفذونها دون التساؤل عنها.

في بيئات الشركات، يعتبر استخدام GitHub بشكل عام "طبيعياً". وغالباً ما لا تخضع هذه العملية للمراقبة الدقيقة التي تخضع لها عمليات التنزيل الأخرى. وهذا يسمح بتنزيل البرامج النصية أو الملفات الثنائية أو حمولات الإصدار دون إثارة الشكوك، خاصةً إذا تم استدعاؤها من خلال مسارات آلية.

وبالإضافة إلى ذلك، المشكلة ليست فقط في النص البرمجي الذي تراه في البرنامج التعليمي.هناك هجمات تستغل التبعيات والمكتبات والتعليقات والمرفقات أو حتى إثباتات المفهوم (PoCs) للثغرات الأمنية، مما يجعل البرامج الضارة تبدو وكأنها مورد تقني شرعي.

أمان البرامج النصية التي يتم تنزيلها من GitHub

أساليب شائعة لإخفاء البرامج الضارة على GitHub

لقد حوّلت الجهات الخبيثة استخدام GitHub إلى قناة توزيع احترافية، لدرجة استخدام نماذج البرمجيات الخبيثة كخدمة (MaaS) حيث يصبح GitHub بمثابة شبكة توصيل المحتوى (CDN) للحمولات الخبيثة. هذه هي بعض أخطر الأساليب التي تم رصدها:

مستودعات وبرامج نصية خبيثة ذات مظهر بريء

إحدى أكثر التكتيكات مباشرة هي: تحميل برامج نصية أو ملفات تنفيذية خبيثة بشكل واضح إلى مستودعات تبدو طبيعية للوهلة الأولى. يتم اختيار أسماء الملفات والمستودعات لإضفاء الثقة، أو على الأقل لتجنب إثارة الشكوك. قد تكون هذه المستودعات أدوات إدارية مزعومة، أو برامج مساعدة للنظام، أو عملاء صغار، أو "مساعدين" لأتمتة المهام.

في بعض الحملات تم رصد حسابات تحتوي على مئات المستودعات بأسماء عشوائية، حيث يستضيف كل مستودع ملفًا خبيثًا واحدًا في قسم الإصدارات. قد يكون الكود الظاهر غير ضار أو غير ذي صلة؛ يكمن الخطر الحقيقي في الإصدار الذي يتم تنزيله من رابط مباشر، والذي تتم مشاركته أحيانًا خارج GitHub (المنتديات، المحادثات، رسائل البريد الإلكتروني، الشبكات الاجتماعية).

الوكالات والمكتبات الملتزمة

ثمة نهج آخر أكثر دقة وهو حقن التعليمات البرمجية الخبيثة في تبعيات تبدو شرعيةبدلاً من مهاجمة المشروع الرئيسي، يقوم المهاجم باختراق مكتبة شائعة الاستخدام أو إنشاء نسخة طبق الأصل باسم مطابق تقريبًا (التزوير المطبعي) ونشرها على GitHub و/أو سجل الحزم المقابل.

عندما يضيف مطور برامج تلك التبعية إلى مشروعه (على سبيل المثال، عن طريق نسخ السطر من ملف README الخاص بالمستودع الخبيث أو موقع ويب مزيف)، فإنه يقوم بدمجها البرامج الضارة كجزء طبيعي من عملية البناء. والنتيجة: تشغيل التعليمات البرمجية الخبيثة في بيئة التطوير، وعلى خوادم التكامل المستمر/التسليم المستمر، وأحيانًا حتى في بيئة الإنتاج.

إثباتات المفهوم (PoCs) لاستغلالات معدلة لتثبيت برامج التحكم عن بعد (RATs)

أصبحت عمليات استغلال الثغرات الأمنية التي تم نشرها على منصة GitHub هدفًا مغريًا للغاية.يقوم العديد من المسؤولين والباحثين و"فرق الهجوم الأحمر" بتنزيل إثباتات المفهوم (PoCs) لتقييم نقاط الضعف في بيئتهم، وغالبًا ما يفترضون أنه إذا كان موجودًا على GitHub ويبدو تقنيًا، فلا بد أنه شرعي.

هذا النوع من إثبات المفهوم الخبيث يتضمن عادةً سلاسل تنفيذ في عدة مراحلإنشاء ملفات نصية دفعية، استدعاء PowerShell، وتنزيل حمولة إضافية وإعداد مهام مجدولة، بحيث ينتهي الأمر بالضحية بحصان طروادة للوصول عن بعد يقوم بتسجيل المفاتيح وسرقة بيانات الاعتماد والتواصل مع خادم القيادة والتحكم.

استغلال التعليقات والمسودات لإدخال الملفات خلسةً

يسمح كل من GitHub و GitLab أرفق الملفات بالتعليقات في المشكلات وطلبات السحبعادةً، تقوم بتحميل لقطات شاشة أو سجلات أو نماذج برمجية بسيطة. تكمن المشكلة في أنه على منصة GitHub، عندما يُرفق أحدهم ملفًا بتعليق، يتم إنشاء رابط مباشر للملف على شبكة توصيل المحتوى (CDN)، حتى لو لم يُنشر التعليق.

هذا يعني أن المهاجم يمكنه الاستعداد تعليق مرفق به ملف خبيثلا تنقر أبدًا على "نشر"، وستحصل في النهاية على رابط يعمل مثل github.com/User/Repo/files/id/fileمن وجهة نظر الضحية، يبدو أن الرابط ينتمي إلى مستودع شرعي ومطور معروف.

لا يستطيع مالك المستودع رؤية هذا الملف، ولا يستطيع حذفه، أو قفله.لأن التعليق يبقى في حالة مسودة غير مرئية. علاوة على ذلك، لا توجد إعدادات أمان على مستوى المستودع لمنع هذا النوع من التحميلات، باستثناء تعطيل التعليقات تمامًا، مما يعطل ديناميكية التعاون في المشروع.

صفحات ودروس تعليمية مزيفة تُعيد التوجيه إلى برامج ضارة مُستضافة على GitHub

وهناك طريقة أخرى واسعة الانتشار تتضمن إنشاء مواقع ويب تحاكي المشاريع أو الأدوات أو الشركات المعروفةحيث يُدعى المستخدمون إلى تنزيل "النسخة الرسمية" أو "أحدث إصدار" من رابط يُشير إلى GitHub. وبمجرد رؤية اسم نطاق GitHub واسم المشروع المزعوم في عنوان URL، يطمئن المستخدم ويقوم بتنزيل الملف دون أي تدقيق إضافي.

وقد لوحظ ذلك في بعض الحالات تكتيك مرتبط بمستودعات الشركات الكبيرةإضافة روابط لما يُفترض أنها أدوات غش أو أدوات إضافية للألعاب. في حين أن المستخدم شديد الملاحظة قد يجد مثل هذا الأمر مزعجًا في مستودع مايكروسوفت، فإن الكثيرين لا يلاحظون سوى الكلمات المفتاحية "GitHub" و"Microsoft" ولا يحللون السياق بشكل أعمق.

التأثير الحقيقي: من جهاز المطور إلى سلسلة التوريد

لا تقتصر المخاطر على إصابة جهاز الكمبيوتر المحمول الخاص بالمطور. فعندما يدخل برنامج نصي خبيث إلى سير عملك، قد يؤثر ذلك على المنظمة بأكملها: شفرة المصدر، بيئات البناء، مسارات النشر، الأسرار، وبيانات العملاء.

أظهرت الحملات الأخيرة كيف تعمل برامج التحميل مثل Emmenthal في طبقات، حيث تخفي الكود الحقيقي حتى اللحظة الأخيرة، وفي النهاية فقط تقوم بتنفيذ التعليمات التي تقوم بتنزيل الحمولة (على سبيل المثال، برنامج Amadey الخبيث) من GitHub أو المستودعات العامة الأخرى.

تم تصميم برنامج Amadey والبرامج الضارة المماثلة لـ جمع معلومات النظام، وسرقة بيانات الاعتماد، وتنزيل وحدات إضافية يعتمد ذلك على خصائص الضحية. وهذا يمنح المهاجمين مرونة كبيرة: من برامج سرقة المعلومات مثل Redline أو Lumma، إلى برامج التجسس التي تتيح الوصول عن بُعد مثل AsyncRAT، والبرامج النصية المتخفية كملفات فيديو، أو أكواد بايثون ذات الوظائف المخفية.

عندما تتسلل هذه الأنواع من التهديدات إلى بنية التكامل المستمر/التسليم المستمر (CI/CD)، يتضاعف التأثيريمكن للوظيفة المخترقة حقن التعليمات البرمجية في الملفات التي يتم توزيعها بعد ذلك على العملاء، أو استخراج متغيرات البيئة باستخدام الرموز والمفاتيح، أو تغيير تكوينات النشر لفتح أبواب خلفية.

من منظور تنظيمي والتزامي، يُعد استخدام المستودعات والتبعيات غير الموثقة أمرًا غير مقبول. قد يؤدي ذلك إلى انتهاكات خطيرة لسياسات الأمن، أو المعايير مثل ISO 27001، أو حتى المتطلبات الخاصة بالقطاع. (المالية، الصحية، إلخ)، وخاصة إذا كان هناك تسريب للبيانات الشخصية أو الملكية الفكرية.

إجراءات github

إجراءات GitHub، والتكامل المستمر/التسليم المستمر، وغيرها من النقاط الحساسة

تُعتبر عمليات التكامل والتسليم المستمر من الأهداف ذات الأولوية. لأنها تُركّز على التعليمات البرمجية وبيانات الاعتماد والأتمتة. قد تتأثر أدوات مثل GitHub Actions وJenkins وGitLab CI أو أي أداة مشابهة أخرى ببرامج نصية خبيثة يتم تنزيلها من مستودعات تبدو بريئة.

يمكن أن يؤدي سير عمل التكامل المستمر/التسليم المستمر (CI/CD) سيئ التكوين إلى تشغيل البرامج النصية بصلاحيات مفرطةحذف الفروع، واستبدال سجل التغييرات، وتحميل ملفات تنفيذية خبيثة إلى الإصدارات الرسمية، أو حتى تعديل ملفات التكوين الحساسة. كل ما يتطلبه الأمر هو أمر واحد في غير موضعه أو أمر خبيث أو git push --force يتم تنفيذه بواسطة إجراء يتمتع بصلاحيات الكتابة على فرع محمي.

تامبين موجود مخاطر تلف البيانات أو فقدانها عند استخدام Git و GitHubالأوامر التدميرية (git clean -fdx, git push --mirror)، أخطاء في البرامج النصية للأتمتة، مشاكل في Git LFS، وحدات فرعية سيئة الإدارة، تعارضات دمج تم حلها بشكل غير صحيح ... كل هذا يمكن أن يتسبب في أي شيء من الخسائر العرضية إلى أضرار جسيمة لتاريخ المشروع.

تُعد أخطاء إدارة الأذونات والوصول مثالاً كلاسيكياً آخر.الفروع الرئيسية بدون قواعد حماية، والمتعاونون الخارجيون الذين يتمتعون بصلاحيات أكثر من اللازم، ورموز الوصول الشخصية المكشوفة أو غير المتداولة، ومفاتيح SSH المسربة... أي إهمال في هذا الجانب يفتح الباب أمام عمليات الحذف أو تعديلات التعليمات البرمجية أو الإدخالات الخبيثة من قبل المهاجمين الخارجيين أو الموظفين الساخطين.

مخاطر محددة للمطورين والمنظمات

بالنسبة للمطور الفردي، الخطر الأكثر وضوحًا هو إصابة فريقك الخاص عند تشغيل البرامج النصية التي تم تنزيلها من GitHub: فقدان الملفات أو تشفيرها، سرقة كلمة السراختراق الحسابات، ومراقبة النشاط، وما إلى ذلك. لكن الضرر لا يتوقف عند هذا الحد.

إذا تعاون هذا المطور في مشاريع مشتركة، يمكن للبرامج الضارة تعديل التعليمات البرمجية، أو إدخال أبواب خلفية، أو تحميل ملفات تم التلاعب بها والتي تصل في النهاية إلى العملاء أو المستخدمين النهائيين.مما يضر بسمعة المشروع والشركة ضرراً بالغاً.

وعلى المستوى التنظيمي، يكون التعرض أكبر بكثير.تحتوي المستودعات الخاصة على الملكية الفكرية، والإعدادات، والوثائق الداخلية، وأحيانًا بيانات الاعتماد المخزنة بشكل غير سليم. ويمكن أن يؤدي أي هجوم ينجح في الوصول إلى هذه العناصر إلى اختراقات بيانات ضخمة، وتخريب المنتجات، وانقطاعات طويلة الأمد في الخدمة.

علاوة على ذلك، فإن إساءة استخدام GitHub كمصدر "رسمي" للتنزيلات في حملات التصيد الاحتيالي تزيد من خطر وقوع الموظفين غير التقنيين ضحية لعمليات الاحتيال: رسائل البريد الإلكتروني أو الرسائل النصية التي تحتوي على روابط تبدأ بـ github.com o gitlab.com وبالتالي تبدو جديرة بالثقة، على الرغم من أنها في الواقع تُسلّم ملفات تنفيذية خبيثة مُولّدة من تعليقات مسودة أو مستودعات وهمية، أو تُعدّل ملف المضيفين.

التدابير التقنية للحد من المخاطر

  • بافتراض أن أي برنامج نصي على GitHub بريء بشكل افتراضييجب التعامل مع أي شيء يتم تنزيله وتشغيله على أنه رمز خبيث محتمل، حتى لو كان مرتبطًا ببرنامج تعليمي شائع جدًا أو حساب ذي تقييم عالٍ.
  • يُعد تحليل الشفرة الثابتة والديناميكية أمرًا أساسيًايتيح لك استخدام أدوات SAST وDAST، وماسحات التبعيات، وتحليل مكونات البرامج (SBOM) تحديد الأنماط المشبوهة، والتبعيات القديمة، ووظائف الشبكة المشكوك فيها، أو استدعاءات PowerShell أو WScript أو المكونات الأخرى الشائعة الاستخدام في سلاسل الهجمات، بالإضافة إلى المراجعة. مديري الحزم في ويندوز.
  • يُعد أتمتة هذه الضوابط ضمن مسار التكامل المستمر/التسليم المستمر (CI/CD) أمرًا أساسيًا.إن دمج الماسحات الضوئية في كل طلب دفع أو سحب، ومنع عمليات الدمج في حالة اكتشاف ثغرات أمنية حرجة، وإعطاء الأولوية للثغرات الأكثر قابلية للاستغلال، يقلل بشكل كبير من خطر وصول البرامج النصية الضارة إلى بيئة الإنتاج دون اكتشافها.
  • يُعد التحكم في التبعيات أمرًا حيويًا: التحقق من أصل كل مكتبة، وتجنب الحزم ذات الأسماء المشابهة بشكل مثير للريبة للمشاريع الشهيرة، ومراجعة تاريخ وسمعة القائمين على الصيانة، والحفاظ على جرد كامل للمكونات باستخدام SBOM لمعرفة ما تم تثبيته وأين.
  • أدوات متخصصة لأمن المستودعات وخطوط المعالجة، مثل حلول من نوع Xygeniفهي تساعد في أتمتة الكثير من هذا العمل: فهي تراقب الأذونات، وتفحص التبعيات بحثًا عن البرامج الضارة أو انتحال أسماء النطاقات، وتراقب الأنشطة الشاذة، وتحمي تدفقات التكامل المستمر/التسليم المستمر من التكوينات غير الآمنة، بل وتنشئ طلبات سحب تلقائية مع التصحيحات والتحديثات.

التحكم في الوصول، وبيانات الاعتماد، والنسخ الاحتياطية

يعتمد أمان البرامج النصية التي يتم تنزيلها من GitHub أيضًا على احمِ حسابك ومستودعاتكليس من المفيد جدًا مراقبة الكود الذي تستورده إذا تركت مشاريعك أو رموزك المميزة أو مفاتيح SSH متاحة لأي شخص.

  • قم بتفعيل المصادقة الثنائية (2FA) على GitHub و GitLab وفي المؤسسات، يُستخدم نظام تسجيل الدخول الموحد (SSO) مع مزود هوية مؤسسي. ويُفضّل استخدام تطبيقات TOTP أو مفاتيح الأمان المادية بدلاً من رموز الرسائل النصية القصيرة.
  • تطبيق مبدأ الحد الأدنى من الامتيازات: يمنح فقط الأذونات الضرورية لكل مستخدم أو فريق، ويقيد من يمكنه الدفع إلى الفروع الرئيسية، ومن يمكنه فرض التحديثات، أو حذف المستودعات، أو تغيير قواعد الحماية.
  • تعامل مع الأسرار على حقيقتها: مواد بالغة الحساسيةتجنّب تحميل الرموز المميزة أو مفاتيح واجهة برمجة التطبيقات أو كلمات المرور إلى التعليمات البرمجية الخاصة بك. استخدم نظام التخزين السري الآمن الخاص بالمنصة، وأدوات فحص الأسرار، وخطافات ما قبل الالتزام لمنع عمليات الالتزام التي تحتوي على بيانات اعتماد.
  • لا تستهين بأهمية النسخ الاحتياطيةقم بإجراء نسخ احتياطية منتظمة للمستودعات (بما في ذلك الفروع والوسوم والإصدارات)، وخزّنها مشفرة في مواقع منفصلة، ​​واختبر إجراءات الاستعادة بانتظام. في حال وقوع هجوم أو تلف واسع النطاق، فإن وجود نسخة احتياطية حديثة هو الفرق بين إزعاج بسيط وكارثة طويلة الأمد.

في نهاية المطاف، يتطلب استخدام البرامج النصية التي تم تنزيلها من GitHub بأمان الجمع بين الشك الصحي والضوابط التقنية والعمليات الناضجة.راجع التعليمات البرمجية قبل تشغيلها، وتحقق دائمًا من صحة الكود المصدري، واحمِ حساباتك وقنواتك، واستخدم أدوات المراقبة الآلية. باتباع هذا النهج، يظل GitHub مصدرًا قويًا دون أن يتحول إلى ثغرة أمنية.

تحديد مكتبات DLL
المادة ذات الصلة:
تحديد ملفات DLL الخطيرة على نظام Windows 11 الخاص بك