اختراق GitHub وتسريب 3800 مستودع أكواد برمجية حساسة
"أدى اختراق جهاز موظف عبر إضافة VS Code مسمومة إلى تسريب 3800 مستودع داخلي لمنصة GitHub. تسلط الحادثة الضوء على مخاطر هجمات سلاسل الإمداد التي تستهدف المطورين."
مقدمة تحليلية
أعلنت منصة GitHub المملوكة لشركة Microsoft عن فتح تحقيق عاجل وشامل في خرق أمني واسع النطاق أدى إلى تسريب وعرض ما يقرب من 3,800 مستودع برمجيات (Repositories) داخلي خاص بالمنصة للبيع على منتديات الجريمة السيبرانية. البداية كانت مع إعلان مجموعة التهديد المعروفة باسم TeamPCP عن حيازتها للأكواد المصدرية الكاملة للبنية التحتية لمنصة GitHub وعرضها للبيع بسعر مبدئي لا يقل عن 50,000 دولار، قبل أن تتحالف لاحقاً مع مجموعة LAPSUS$ الشهيرة لرفع السعر إلى 95,000 دولار للبيع المشترك.
الحادثة لم تكن نتيجة اختراق مباشر لخوادم المنصة، بل بدأت برأس حربة مستهدف؛ حيث تمكن المهاجمون من اختراق جهاز موظف يعمل لدى GitHub. هذا الاختراق مكّن المهاجمين من استخراج بيانات الاعتماد والوصول إلى المستودعات الداخلية الخاصة بالشركة. وتؤكد التحليلات الأولية أن الهجوم تم عبر آلية تسميم هجمات سلاسل الإمداد البرمجية (Supply Chain Attacks) واستهداف أدوات المطورين التي باتت تمثل الخاصرة الرخوة لأمن المؤسسات التقنية الكبرى.
وعلى الرغم من تأكيدات GitHub بعدم وجود أدلة حالية على تأثر بيانات العملاء خارج المستودعات الداخلية، إلا أن طبيعة الأكواد المسربة تكشف عن حجم الضرر؛ حيث تشمل الملفات المسربة أدوات حيوية مثل أنظمة GitHub Actions، ومشاريع Copilot الداخلية، وأدوات تحليل الأكواد CodeQL، بالإضافة إلى ملفات التحكم الخاصة بإدارة المنظمات وطلبات السحب (Pull Requests Controller)، مما يضع الأمان الهيكلي للمنصة بأكملها تحت مجهر التهديد المستقبلي.
التحليل التقني
كشف التحليل الجنائي الرقمي للحادثة عن تفاصيل معقدة تتعلق بمتجهات الهجوم والبرمجيات الخبيثة المستخدمة. نقطة البداية تمثلت في زرع برمجية خبيثة داخل إضافة برمجية ملوثة لبيئة التطوير Microsoft Visual Studio Code، ويرجح الخبراء الأمنيون أن تكون الإضافة المعنية هي Nx Console التي تعرضت مؤخراً لعملية تسميم برمجية سمحت للمهاجمين بنشر أداة لسرقة بيانات الاعتماد (Credential Stealer).
بعد اختراق جهاز الموظف، نجح المهاجمون في سحب مفاتيح الربط وتوكنات الوصول الخاصة بـ GitHub، مما فتح الباب لتوسيع الهجوم عبر حزمة من العمليات المتتالية التي استهدفت بيئات عمل أخرى. ومن أبرز تجليات هذا التوسع، نجاح مجموعة TeamPCP في استغلال الأسرار المسربة للوصول إلى توكن النشر الخاص بحزمة durabletask على مستودع PyPI (وهو عميل Python الرسمي لإطار عمل Durable Task الخاص بشركة Microsoft).
تم تحديد ثلاث إصدارات خبيثة من الحزمة المذكورة وهي:
- الإصدار 1.4.1
- الإصدار 1.4.2
- الإصدار 1.4.3
البرمجية الخبيثة المدمجة في هذه الإصدارات، والمعروفة باسم Mini Shai-Hulud، تعمل كأداة إسقاط (Dropper) مصممة لجلب الحمولة الثانية المسماة rope.pyz من خادم تحكم خارجي يحمل النطاق check.git-service[.]com، مع وجود نطاق احتياطي هو t.m-kosche[.]com. وتتميز هذه الحمولة بالخصائص التقنية التالية:
- استهداف بيئات المطورين: تسرق البرمجية الخبيثة بيانات الاعتماد الخاصة بمزودي الخدمات السحابية الكبرى، وتعمل على فك تشفير وسحب الخزائن الأمنية لمديري كلمات المرور مثل 1Password وBitwarden.
- الانتشار الذاتي (Worm Capabilities): إذا رصدت البرمجية بيئة عمل AWS، فإنها تستخدم خدمة AWS SSM عبر مستند AWS-RunShellScript لنشر الحمولة على 5 مثيلات EC2 أخرى لكل ملف تعريف شخصي. وفي بيئات Kubernetes، تنتشر عبر تنفيذ أوامر مباشرة باستخدام kubectl exec.
- آلية القنوات البديلة (FIRESCALE): تستخدم البرمجية تقنية مبتكرة للبحث في رسائل التزام الأكواد العامة (Public Commit Messages) على GitHub عن نمط محدد لاستخراج عناوين خوادم التحكم البديلة والمشفرة بترميز Base64 في حال حجب النطاقات الرئيسية.
- الاستهداف الجيوسياسي والتدمير الذاتي: تحتوي البرمجية على شيفرة برمجية تتحقق من الإعدادات الإقليمية للنظام؛ وإذا كشفت أن النظام يعمل بإعدادات إسرائيلية أو إيرانية، فهناك احتمال بنسبة 1 إلى 6 أن تقوم بتشغيل ملف صوتي ثم تنفيذ الأمر التدميري rm -rf /* لمسح القرص الصلب بالكامل.
السياق وتأثير السوق
يأتي هذا الاختراق المزدوج ليوجه ضربة قوية لسمعة شركة Microsoft الأمنية، خاصة بعد سلسلة الحوادث الأمنية المتكررة التي واجهتها أنظمتها السحابية والبرمجية في الآونة الأخيرة. تحالف مجموعتي TeamPCP وLAPSUS$ يعكس تطوراً خطيراً في مشهد الجريمة المنظمة؛ حيث لم يعد المهاجمون يكتفون بطلب الفدية التقليدية من الضحية، بل يتجهون مباشرة إلى تسييل الأصول البرمجية عبر بيعها لمنافسين أو جهات فاعلة ترعاها دول للاستفادة من الثغرات الأمنية الكامنة في تلك الأكواد.
سوق البرمجيات مفتوحة المصدر وسلاسل الإمداد باتت الهدف الأول للقراصنة. إن تسميم حزمة مثل durabletask التي يتم تحميلها بمعدل 417,000 مرة شهرياً يعني أن آلاف الشركات التي تعتمد على البنية التحتية لـ Microsoft قد تكون أصيبت بالفعل دون علمها، حيث تعمل الشيفرة الخبيثة تلقائياً بمجرد استيراد الحزمة (Import) دون إظهار أي رسائل خطأ أو علامات تشير إلى الاختراق.
رؤية Glitch4Techs
تثبت هذه الحادثة أن المطورين هم الحلقة الأضعف والهدف الأثمن في آن واحد بالنسبة لفرق الاختراق الحديثة. إن تهاون الشركات في حماية بيئات التطوير المحلية للموظفين، والاعتماد الأعمى على إضافات بيئات العمل (IDE Extensions) دون إخضاعها لتدقيق أمني صارم، يمثل ثغرة هيكلية خطيرة في جدار الحماية للشركات التقنية.
نرى في Glitch4Techs أن تقنية FIRESCALE المستخدمة لتمرير نطاقات التحكم عبر رسائل التزام الأكواد العامة على GitHub تمثل تحولاً نوعياً في مرونة البرمجيات الخبيثة وقدرتها على التخفي وتجاوز أنظمة منع التسلل التقليدية. الحل لم يعد يكمن في مراقبة الحدود الخارجية للشبكة فحسب، بل في تطبيق نموذج انعدام الثقة المطلق (Zero Trust) حتى على مستوى الأجهزة الشخصية للمطورين، وفصل بيئات التطوير الحساسة في حاويات معزولة، وفرض رقابة مشددة على صلاحيات الرموز البرمجية (API Tokens) وتقييد نطاق عملها لمنع حدوث سيناريوهات الانتشار الذاتي الكارثية التي شهدناها في هذا الهجوم.
كن أول من يعرف بمستقبل التقنية
أهم الأخبار والتحليلات التقنية مباشرة في بريدك.