أعلنت منصة GitHub المملوكة لشركة مايكروسوفت عن تعرضها لاختراق أمني خطير أدى إلى تسريب أكثر من 3800 مستودع داخلي، بعد أن تمكنت مجموعة القرصنة المعروفة باسم TeamPCP من الوصول غير المصرح به إلى أجهزة أحد الموظفين. هذا التطور يسلط الضوء على هشاشة سلاسل التوريد البرمجية، ويعيد إلى الواجهة النقاش حول أمن البرمجيات مفتوحة المصدر التي يعتمد عليها ملايين المطورين حول العالم.
خلفيات الهجوم وسياق التهديدات
بدأت القصة عندما عرضت مجموعة TeamPCP على منتدى في الشبكة المظلمة بيع الشيفرة المصدرية الخاصة بغيت هاب مقابل مبلغ لا يقل عن 50 ألف دولار، مشيرة إلى أن البيانات تشمل نحو 4000 مستودع داخلي. المجموعة، التي اشتهرت بسلسلة من الهجمات على حزم مفتوحة المصدر، أكدت أنها لا تسعى إلى ابتزاز الشركة وإنما إلى بيع البيانات لمشترٍ واحد، مع التهديد بتسريبها مجاناً إذا لم تجد من يشتريها.
هذا الإعلان ترافق مع تصريحات على منصة “إكس” من حساب مرتبط بالمجموعة، اتهم فيه غيت هاب بالتأخر في إبلاغ المستخدمين بالحادثة، ما يعكس محاولة استغلال الثغرة إعلامياً إلى جانب استغلالها تقنياً.
تفاصيل الاختراق عبر جهاز موظف
أوضحت غيت هاب في بيانها أنها تمكنت من احتواء الاختراق الذي وقع عبر جهاز موظف، بعد أن تم زرع إضافة خبيثة في محرر Visual Studio Code. هذه الإضافة المسمومة سمحت للمهاجمين باستخراج بيانات حساسة والوصول إلى المستودعات الداخلية.
كإجراء وقائي، قامت الشركة بتدوير المفاتيح السرية الأكثر أهمية، وأكدت أن التحقيقات الأولية تتوافق مع مزاعم المهاجمين بشأن حجم المستودعات المسربة. ورغم ذلك، شددت على عدم وجود أدلة حتى الآن على تأثر بيانات العملاء أو المؤسسات الخارجية.
توسع الحملة: استهداف حزم “بايثون” الرسمية
لم يتوقف الأمر عند اختراق المستودعات، إذ كشفت تقارير أمنية أن مجموعة TeamPCP وسعت هجماتها عبر حملة برمجيات خبيثة أطلقت عليها اسم Mini Shai-Hulud، استهدفت حزمة “durabletask” الخاصة بمايكروسوفت على منصة PyPI.
تم نشر ثلاث نسخ خبيثة من الحزمة (1.4.1، 1.4.2، 1.4.3) تحتوي على شيفرة قادرة على تنزيل حمولة ثانية من خادم خارجي، لتتحول إلى أداة متقدمة لسرقة بيانات الاعتماد من مديري كلمات المرور، أدوات التطوير، ومزودي الخدمات السحابية. الأخطر أن هذه البرمجيات صُممت خصيصاً للعمل على أنظمة لينكس، مع قدرات على الانتشار داخل بيئات AWS وKubernetes، ما يجعلها تهديداً واسع النطاق للبنية التحتية السحابية.
تحالفات جديدة وتداعيات مستقبلية
في تطور لافت، دخلت مجموعة LAPSUS$ الشهيرة على خط الأزمة، معلنة تحالفها مع TeamPCP لبيع المستودعات المسربة مقابل 95 ألف دولار. وبحسب الباحثين الأمنيين، فإن البيانات تشمل مشاريع داخلية حساسة مثل GitHub Actions، أدوات CodeQL، مشاريع مرتبطة بـ Copilot، إضافة إلى أدوات البنية التحتية والأمن الداخلي.
هذا التحالف بين مجموعتين من أبرز الفاعلين في مشهد الجريمة الإلكترونية يعكس خطورة المرحلة المقبلة، حيث تتحول الهجمات من مجرد تسريبات إلى عمليات منظمة تستهدف قلب المنصات التقنية الكبرى، بما يهدد الثقة في أدوات التطوير التي يعتمد عليها الاقتصاد الرقمي العالمي.
