دودة Miasma تضرب 73 مستودعاً لمايكروسوفت على GitHub في هجوم مدمر

مقدمة تحليلية

سجلت منصة GitHub خرقاً أمنياً واسع النطاق استهدف البنية التحتية لشركة Microsoft، حيث نجحت دودة خبيثة ذاتية التكاثر تُدعى Miasma في اختراق وتعطيل 73 مستودعاً برمجياً موزعة على أربعة من المنظمات الرئيسية التابعة للعملاق الأمريكي، وهي Azure وAzure-Samples وMicrosoft وMicrosoftDocs. هذا الهجوم المتسلسل لم يقتصر على إلحاق الضرر البرمجي فحسب، بل أجبر إدارة منصة GitHub على التدخل السريع وتعطيل الوصول العام إلى هذه المستودعات الحيوية للحد من انتشار العدوى البرمجية التي تهدد ملايين المطورين حول العالم. يظهر الأثر المباشر لهذا الاختراق بوضوح عند محاولة الوصول إلى مستودعات برمجية رئيسية مثل "Azure/azure-functions-host"، حيث تظهر رسالة رسمية تشير إلى أن الوصول للمستودع قد تم تعطيله بواسطة فريق عمل GitHub بسبب انتهاك شروط الخدمة. يمثل هذا الاختراق نقطة تحول حرجة في مشهد الأمن السيبراني لعام 2026، حيث يبرهن على قدرة المهاجمين على التسلل إلى قلب الأنظمة السحابية والبرمجية الأكثر موثوقية عبر استغلال الثقة المتبادلة بين المطورين والمنصات الكبرى. إن جوهر الخطورة في هجوم Miasma يكمن في طريقة انتشاره؛ إذ لا يعتمد على استغلال ثغرات برمجية تقليدية (Zero-day vulnerabilities) في النظام، بل يستغل الثقة المطلقة الممنوحة للمطورين والمفاتيح الرقمية المعتمدة. يعكس هذا الاختراق الفشل الذريع لنموذج الأمان الحالي الذي تعتمد عليه منظومات إدارة الأكواد المصدرية، مما يستدعي إعادة صياغة جذرية لكيفية التحقق من الهوية وصحة التحديثات البرمجية قبل دمجها في سلاسل التوريد.

التحليل التقني

من الناحية الهيكلية، تُعتبر دودة Miasma الخبيثة متحوراً مباشراً لدودة "Mini Shai-Hulud" التي أطلقتها مجموعة التهديد المعروفة باسم TeamPCP بشكل علني في منتصف مايو 2026. وتتميز هذه الدودة بقدرتها الفريدة على العمل بشكل مستقل تماماً داخل القنوات والمستودعات الشرعية دون إثارة الإنذارات الأمنية التقليدية. تتضمن الآلية التقنية للاختراق الأخير إعادة استغلال مفاتيح برمجية مخترقة تم الاستيلاء عليها في مايو الماضي خلال اختراق حزمة Durabletask على مستودع PyPI الخاص بلغة Python. وقد أكد باحثون أمنيون أن بقاء هذه المفاتيح فعالة دون إبطال كامل مكّن المهاجمين من العودة واختراق النظام البيئي الكامل لـ Durable Task، بما في ذلك إصدارات دوت نت وجافا وجو وجافا سكريبت وغيرها. وتتضمن قائمة المستودعات الرئيسية التي تم رصد إصابتها بالكامل ما يلي:

• azure-search-openai-demo-purviewdatasecurity
• Connectors-NET-LSP
• Connectors-NET-SDK
• durabletask
• durabletask-dotnet
• durabletask-go
• durabletask-js
• durabletask-mssql
• functions-container-action
• homebrew-functions
• llm-fine-tuning
• windows-driver-docs

تعتمد دودة Miasma على تكتيك ذكي لتجاوز مستودعات NPM الرسمية ونشر الكود الخبيث مباشرة إلى مستودعات فرعية معينة مثل "icflorescu/mantine-datatable" وأربعة مستودعات أخرى مرتبطة بها. تم زرع كود خبيث بحجم 4.3 ميجابايت (Payload Runner) دون إضافة أي اعتمادات برمجية خارجية (Dependencies)، مما يجعله غير مرئي لأدوات فحص الثغرات التقليدية. عند تنزيل المستودع المصاب بواسطة المطور، يتم تشغيل الكود الخبيث تلقائياً عبر آلية الحقن البرمجي لملفات الإعداد الخاصة بخمس من أشهر أدوات البرمجة وبيئات التطوير:

• مساعد البرمجة بالذكاء الاصطناعي Claude Code
• واجهة التحكم البرمجية Gemini CLI
• بيئة التطوير المدعومة بالذكاء الاصطناعي Cursor
• محرر الأكواد الشهير VS Code
• برنامج التشغيل التلقائي للاختبارات npm test script

بمجرد أن يقوم المطور باستنتاج (Clone) المستودع المصاب وفتحه في إحدى هذه الأدوات الذكية، يتم تفعيل المحمل الخبيث المكتوب بلغة Bun (Staged Bun Loader)، مما يؤدي إلى تشغيل البرمجية الضارة محلياً على جهاز المطور لاستخراج وسرقة بيانات الاعتماد، والرموز الأمنية (Tokens)، ومفاتيح الوصول الحساسة، ومن ثم استخدامها لرفع أكواد خبيثة جديدة إلى مستودعات أخرى يمتلك المطور صلاحية الوصول إليها، وهو ما يفسر الانتشار الأسي السريع للدودة.

السياق وتأثير السوق

يأتي هذا الهجوم كجزء من موجة متصاعدة من هجمات سلاسل التوريد البرمجية التي بدأت تقوض الثقة الأساسية في مستودعات الأكواد مفتوحة المصدر. تاريخياً، كانت الهجمات تركز على تسميم الحزم البرمجية (Typosquatting) أو حقن أكواد ضارة في حزم برمجية مهجورة. لكن Miasma تنقل الصراع إلى مستوى جديد كلياً يعتمد على اختراق هويات المطورين الحقيقيين وتوظيف بيئات التطوير المحلية كمنصات انطلاق. يظهر تأثير هذا الاختراق على السوق البرمجي من خلال الخسائر الكبيرة في ثقة المطورين والمؤسسات التي تعتمد على البنية التحتية لـ Microsoft Azure لتشغيل تطبيقاتها الحيوية. اضطرار مايكروسوفت وGitHub إلى إغلاق المستودعات المصابة عطل العمليات اليومية لآلاف الشركات التي تعتمد على هذه المستودعات المفتوحة لبناء ميزاتها البرمجية. علاوة على ذلك، فإن عودة ظهور الثغرة في حزمة durabletask بعد شهر واحد من الإبلاغ عنها يشير إلى وجود فجوة تنظيمية هائلة في كيفية استجابة الشركات التقنية الكبرى لتقارير الاختراقات الأمنية وإدارة دورة حياة الرموز الأمنية والمفاتيح الرقمية المخترقة. امتد تأثير الدودة ليشمل مئات المستودعات الأخرى التي حملت أوصافاً موحدة تحتوي على عبارات غامضة مثل "Miasma: The Spreading Blight" و"Hades - The End for the Damned". وتشير البيانات الميدانية إلى وجود ما لا يقل عن 13 مستودعاً نشطاً يحمل وصف "Hades" وأكثر من 82 مستودعاً آخراً يحمل أنماط التسمية المرتبطة بـ Miasma، مما يؤكد أن الحملة مستمرة وقادرة على التكيف السريع وإعادة إنتاج نفسها بأسماء وأشكال مختلفة لتجنب الكشف التلقائي من قبل خوارزميات GitHub الأمنية.

رؤية Glitch4Techs

نرى في Glitch4Techs أن هجوم Miasma يمثل ناقوس خطر حقيقي يكشف عن نقطة ضعف هيكلية خطيرة في منظومة "البرمجة المدعومة بالذكاء الاصطناعي" (AI-assisted coding). لقد سارعت الشركات إلى تبني أدوات مثل Cursor وClaude Code لزيادة الإنتاجية، دون التفكير في المخاطر الأمنية الناجمة عن قدرة هذه الأدوات على قراءة وتنفيذ ملفات الإعداد المحلية تلقائياً بمجرد فتح المشروع البرمجي. إن استهداف المهاجمين لهذه البيئات تحديداً يوضح أنهم يسبقون بفرس في فهم كيفية تفاعل المطورين العصريين مع مشاريعهم. إن اعتماد استراتيجية الدفاع التقليدية القائمة على فحص الحزم البرمجية الموقعة رقمياً قد انتهى مفعوله؛ فالمهاجم لم يعد يكسر قفل الباب، بل سرق المفتاح الأصلي من يد صاحب المنزل نفسه. لم يعد من الممكن الوثوق بأي تحديث برمجى لمجرد أنه صادر من حساب موثق أو يحمل توقيعاً رقمياً معتمداً. نقترح في Glitch4Techs تبني مفهوم "عدم الثقة المطلق بالبيئة المحلية" (Zero Trust Local Environment)، والذي يستوجب تشغيل بيئات التطوير ومساعدات الذكاء الاصطناعي داخل حاويات معزولة (Sandboxed Containers) لا تملك صلاحية الوصول المباشر إلى المفاتيح الأمنية لنظام التشغيل الأساسي، وإلزام المطورين بفصل هوياتهم البرمجية المحلية عن صلاحيات النشر والإنتاج بشكل صارم.