ارتفاع مفاجئ في هجمات المسح بحثًا عن أرقام Git المسربة

كشفت شركة GreyNoise المتخصصة في استخبارات التهديدات عن موجة مسح مكثفة استهدفت ملفات Git بين 20 و21 أبريل 2025، في محاولة للعثور على رموز وصول مسربة (Tokens)، وأسرار تخزين (Secrets)، وأكواد داخلية حساسة. وشملت الهجمات ما يقارب 4,800 عنوان IP فريد، تركزت أنشطتها في سنغافورة، الولايات المتحدة، ألمانيا، المملكة المتحدة، والهند.

تفاصيل الهجمات وأنماط التهديد

• هذه الموجة الرابعة من نوعها منذ سبتمبر 2024، بعد ذروات سابقة في نوفمبر وديسمبر 2024، ومارس 2025.

• الهدف الرئيسي: استغلال أخطاء المطورين في تخزين بيانات الاعتماد (مثل API Keys، وكلمات مرور قواعد البيانات) داخل مستودعات Git العامة أو غير المؤمنة.

• تُستخدم هذه التسريبات لاختراق سير عمل المطورين، وسرقة الشفرات المصدرية، أو حتى الانتقال إلى أنظمة داخلية عبر وصول غير مصرح به.

تراجع هجمات Palo Alto GlobalProtect.. هل تحول القراصنة؟

في الوقت نفسه، لاحظت GreyNoise انخفاضًا حادًا ومستمرًا في عمليات المسح العشوائي لثغرات بوابات GlobalProtect التابعة لشركة Palo Alto Networks، والتي كانت تُستغل سابقًا في هجمات اختراق الخوادم.

• يرتبط معظم عناوين IP المستخدمة في هجمات Git بـموفر خدمة 3xK Tech GmbH، الذي شكّل 20,000 من أصل 25,000 عنوان IP تم رصدها خلال الـ90 يومًا الماضية.

كيف تحمي مؤسستك من هذه التهديدات؟

1. مراجعة إعدادات Git: تأمين الملفات الحساسة مثل .gitignore و.env.

2. تدقيق الأذونات: ضمان عدم تخزين رموز الوصول (Tokens) أو كلمات السر في المستودعات العامة.

3. استخدام أدوات الكشف: مثل GitGuardian أو TruffleHog لاكتشاف التسريبات تلقائيًا.

4. تحديث السياسات الأمنية: تدريب المطورين على أفضل ممارسات تخزين الأسرار.