---
title: حمله خاموش در گیت‌هاب؛ چگونه صدها مخزن جعلی در حال سرقت اطلاعات کاربران هستند؟
date: 2026-07-17T18:00:18Z
modified: 2026-07-17T18:10:01Z
permalink: "https://nooshdaroo.ir/safe-ecommerce-selling/github-fake-repos-malware-boryptgrab/"
type: post
status: publish
excerpt: ""
wpid: 15397
categories:
  - کسب‌وکار آنلاین
  - خبر و تحلیل
tags:
  - برنامه نویسی
author:
  - Hooshyar
  - daniyal
featured_image: "https://nooshdaroo.ir/wp-content/uploads/2026/07/github-fake-repos-malware.webp"
---

تصور کنید برای دانلود یک ابزار توسعه یا نرم‌افزار امنیتی به یکی از معتبرترین پلتفرم‌های برنامه‌نویسان دنیا مراجعه می‌کنید، اما به جای نرم‌افزار اصلی، یک بدافزار سارق اطلاعات را روی سیستم خود اجرا می‌کنید. به‌تازگی یک شبکه گسترده از مخازن جعلی در پلتفرم گیت‌هاب (GitHub) شناسایی شده است که با سوءاستفاده از نام‌های معتبر، اطلاعات حساس و دارایی‌های دیجیتال کاربران را به سرقت می‌برد. این اتفاق نشان می‌دهد که حتی در پلتفرم‌های مورد اعتماد نیز باید پیش از هر دانلودی محتاط بود.

## تله‌ای در دل جستجوها

شرکت امنیت سایبری «آرکتیک ولف» (Arctic Wolf) پس از مشاهده سوءاستفاده از نام و برند خود در گیت‌هاب، بررسی‌های عمیق‌تری انجام داد و متوجه یک حمله گسترده سایبری شد. مجرمان سایبری بیش از ۲۹۰ مخزن تقلبی ایجاد کرده‌اند که خود را به جای ابزارهای معتبر امنیتی، نرم‌افزارهای مدیریت ارز دیجیتال و ابزارهای کاربردی سیستم‌عامل جا می‌زنند.

این صفحات با استفاده از کلمات کلیدی بهینه شده‌اند تا کاربرانی را که از طریق موتورهای جستجو به دنبال دانلود نرم‌افزار هستند، به دام بیندازند.



مهاجمان برای فریب کاربران از فایل‌های توضیحات (`README`) بسیار حرفه‌ای استفاده می‌کنند که دارای نشان‌های اعتماد و دکمه‌های «دانلود امن» هستند. با کلیک روی این دکمه‌ها، کاربر معمولاً از چند صفحه‌ی واسطه به وب‌سایتی تحت کنترل مهاجمان هدایت می‌شود و در نهایت یک فایل فشرده‌ی آلوده را دانلود می‌کند.

در نمونه‌های بررسی‌شده، فایل فشرده لزوماً شامل نرم‌افزار واقعی موردنظر کاربر نبود؛ بلکه یک برنامه‌ی معتبر و امضاشده در کنار یک کتابخانه‌ی مخرب قرار گرفته بود. نام برنامه نیز تغییر داده شده بود تا شبیه همان ابزاری به نظر برسد که کاربر قصد دانلودش را داشت.



هنگام اجرای برنامه، بدافزار از تکنیکی به نام «بارگذاری جانبی» (DLL Side-loading) استفاده می‌کند. در این روش، مهاجم یک کتابخانه‌ی مخرب را کنار برنامه‌ای معتبر قرار می‌دهد. برنامه هنگام اجرا، به‌جای نسخه‌ی اصلی کتابخانه، فایل مخرب را از همان پوشه بارگذاری می‌کند و ناخواسته کد مهاجم را اجرا می‌کند. استفاده از یک برنامه‌ی معتبر و دارای امضای دیجیتال می‌تواند فعالیت را عادی‌تر جلوه دهد و شناسایی آن را برای برخی ابزارهای امنیتی دشوارتر کند.

## از رمزهای مرورگر تا کیف پول‌های رمزارزی

بدافزاری که از این طریق اجرا می‌شود، نسخه‌ای هم‌خانواده یا مبتنی بر کدپایه BoryptGrab است که در دسته سارقان اطلاعات (InfoStealer)[1](#c6b883c8-b3ba-45d6-a20c-92065ba5fcb9) قرار می‌گیرد. این بدافزار توانایی جمع‌آوری اطلاعات حساس را از ۱۹ مرورگر اینترنتی مختلف، ده‌ها کیف پول ارز دیجیتال و نرم‌افزارهای ارتباطی مانند تلگرام و دیسکورد دارد.

یکی از ویژگی‌های پیشرفته این بدافزار، توانایی نفوذ مستقیم به حافظه مرورگر گوگل کروم است که به آن اجازه می‌دهد لایه‌های رمزنگاری اختصاصی مرورگر را دور بزند و به رمزهای عبور ذخیره شده دسترسی پیدا کند. در نهایت، تمام داده‌های سرقت‌شده در یک فایل فشرده، به یک سرور فرمان‌دهی با نشانی IP میزبانی‌شده در روسیه ارسال می‌شوند.

## چگونه ایمن بمانیم؟

گیت‌هاب بخش زیادی از این صفحات مخرب را حذف کرده است، اما ساخت حساب‌های جدید به سرعت و بدون هزینه انجام می‌شود و این تهدید همچنان پابرجا است. این حمله سایبری به روشنی نشان می‌دهد که مهاجمان به‌جای تلاش برای هک کردن مستقیم سیستم‌ها، روی [مهندسی اجتماعی](https://nooshdaroo.ir/fraud-awareness/social-engineering-explained/) و فریب کاربران تمرکز کرده‌اند. برای در امان ماندن از این نوع حملات، این نکات را رعایت کنید:

- لینک مخزن را از وب‌سایت رسمی سازنده پیدا کنید، نه فقط از نتیجه جست‌وجو.
- فقط وجود README حرفه‌ای، ستاره، نشان اعتماد یا نام معتبر را نشانه اصالت ندانید.
- تاریخ ساخت حساب، سابقه commit، مشارکت‌کنندگان و صفحه رسمی سازمان را بررسی کنید.
- از نسخه‌های «رایگان»، کرک‌شده، بتا یا ابزارهایی که نرم‌افزار پولی را مجانی وعده می‌دهند دوری کنید.



  [ ![یک کوسه مگالودون غول‌پیکر با دهان باز در حال حمله به لوگوی گیت‌هاب است.](https://nooshdaroo.ir/wp-content/uploads/2026/05/4a1f8b3d-0f3c-43ec-9734-20eb2d42cc34.webp) ](https://nooshdaroo.ir/news-opinion/github-megalodon-attack/) 

 

#####  [حمله‌ای دیگر به ۵۵۰۰ مخزن گیت‌هاب؛ وقتی یک کامیت ساده زنجیره نرم‌افزار را آلوده می‌کند](https://nooshdaroo.ir/news-opinion/github-megalodon-attack/) 

 

 

   [ ![لوگوی گیت‌هاب کنار نوار آدرسی که آدرس سایت گیت‌هاب را نشان می‌دهد.](https://nooshdaroo.ir/wp-content/uploads/2026/06/hackers-infiltrate-github-by-compromising-employee-device_9822.1920.webp) ](https://nooshdaroo.ir/news-opinion/microsoft-open-source-tools-hack/) 

 

#####  [ده‌ها پروژه متن‌باز مایکروسافت در گیت‌هاب به بدافزار آلوده شد](https://nooshdaroo.ir/news-opinion/microsoft-open-source-tools-hack/) 

 

 

  

1. **سارق اطلاعات (InfoStealer)**، نوعی بدافزار است که برای جمع‌آوری و ارسال اطلاعات حساس مانند رمزهای عبور، کوکی‌های ورود، اطلاعات بانکی، فایل‌ها و داده‌های کیف پول رمزارزی طراحی شده است. بعضی سارقان اطلاعات فقط یک‌بار اجرا می‌شوند، اما برخی می‌توانند در سیستم ماندگار شوند یا بدافزارهای دیگری نصب کنند. [↩︎](#c6b883c8-b3ba-45d6-a20c-92065ba5fcb9-link)