يكشف تقرير جديد صادر عن شركة Cofense للأمن السيبراني أن مجرمي الإنترنت باتوا يوظّفون منصتي GitHub وGitLab بصورة متصاعدة لتوزيع البرمجيات الخبيثة وسرقة بيانات اعتماد المستخدمين، مستغلين الثقة الواسعة التي تحظى بها هذه المنصات في بيئات المؤسسات. وتكشف الأرقام الواردة في التقرير عن تحول استراتيجي في أسلوب الهجمات الإلكترونية، إذ لم تعد البنية التحتية الخبيثة تقتصر على النطاقات المشبوهة والمواقع المجهولة، بل باتت تختبئ خلف عناوين موثوقة تعجز أنظمة الأمان التقليدية عن تصفيتها.
أرقام مقلقة وتصاعد سنوي لا يهدأ
تتصاعد حدة هذا التهديد بشكل لافت من عام لآخر؛ ففي الفترة الممتدة من 2021 حتى 2025، نما استغلال مواقع مستودعات Git نموا مستمرا، وحدها سنة 2025 استأثرت بنحو 45 بالمئة من إجمالي الحملات الخبيثة الموثّقة طوال تلك الحقبة.
وعلى صعيد توزيع الحصص، تستحوذ GitHub على 95 بالمئة من إجمالي الحملات المرصودة، فيما تحتل GitLab النسبة المتبقية. وفيما يخص طبيعة الهجمات، تُهيمن حملات سرقة بيانات الاعتماد بنسبة 58 بالمئة، في حين تنصبّ 42 بالمئة على توصيل البرمجيات الخبيثة.
وقد رصد الباحثون ما يزيد على 30 عائلة مختلفة من البرمجيات الخبيثة تُوزَّع عبر هذه المنصات، يتصدرها Remcos RAT بنسبة 21 بالمئة من حجم الحملات الإجمالي، يليه Byakugan بنسبة 9 بالمئة، ثم AsyncRAT بنسبة 7 بالمئة، فيما يحتل DcRAT المرتبة الرابعة إجمالا لكنه يُعدّ البرمجية الأكثر شيوعا عبر GitLab تحديدا.
كيف تتمكن الهجمات من التملص من أنظمة الأمان؟
لفهم خطورة هذا التوجه، لا بد من استيعاب الآلية التي يعتمدها المهاجمون لتحويل منصات تطوير البرمجيات إلى سلاح يوجهونه ضد المستخدمين.
يلجأ المهاجمون في الغالب إلى رابط githubusercontent لتوصيل حمولاتهم الخبيثة، كما يحرصون على التحايل على فحص البرمجيات الضارة بتعبئة الملفات الخبيثة داخل أرشيفات محمية بكلمة مرور من نوع .zip أو .7z، وبما أن كلمة المرور تكون في رسالة البريد الإلكتروني التصيدي حصرا، فإن الفحص الآلي الذي تُجريه GitHub وGitLab يعجز عن الوصول إلى محتوى الأرشيف أو فحصه.
أما فيما يخص صفحات الاصطياد لبيانات الاعتماد، فيستعين بعض مشغّلي حملات GitLab بتقنيات مضادة للأتمتة كـCAPTCHA التابعة لـCloudflare أو Google قبل إعادة توجيه الضحية إلى الصفحة الخبيثة، مما يضمن أن البشر وحدهم من يصلون إلى هذه الصفحات، ويجعل بالتالي الروابط تبدو مشروعة لأنظمة الأمان المعتمدة على البريد الإلكتروني.
وفي مثال موثّق أكثر تطورا من نوعه، استخدم المهاجمون GitLab مع تقنية كشف User-Agent الخاصة بالمتصفح لتصميم الهجوم وفق نظام الضحية؛ فإن كان يستخدم جهاز Windows وُجّه إليه GoTo RAT، وإن لم يكن كذلك أُعيد توجيهه إلى صفحة اصطياد لبيانات الاعتماد، مما يضمن نجاح الهجوم بصرف النظر عن جهاز الضحية.
الهجوم المزدوج.. ضربتان في آن واحد
الأكثر إثارة للقلق هو صعود نمط الهجمات الهجينة، إذ وثّق تقرير Cofense حملة مرصودة في ATR 383659، استُخدم فيها GitHub لإيصال برمجية Muck Stealer لسرقة المعلومات، بينما تفتح صفحة اصطياد احتيالية مزيفة تنتحل شخصية DocuSign في الوقت ذاته لسرقة بيانات الاعتماد، مما يمنح المهاجمين وصولا مستمرا إلى الجهاز المصاب وسرقة فورية للمعلومات في آن واحد.
وتجدر الإشارة إلى وجود نسخ مجانية مخترقة من DcRAT متاحة للعموم على GitHub ذاته، مما يُتيح لمهاجمين آخرين توظيفها في حملاتهم دون مقابل مالي، في مشهد ساخر يجسّد مفارقة أن المنصة تستضيف في الوقت ذاته أداة الهجوم ومستودعات ضحاياه المحتملين.
لماذا يصعب التصدي لهذه الهجمات؟
تكمن المعضلة الكبرى في أن مواقع Git ضرورية تشغيليا ولا يمكن حجبها بسبب استخدامها في برمجيات المؤسسات والعمليات التجارية الاعتيادية. ويترتب على ذلك أن المنصتين تُزيلان عادة المحتوى الخبيث، غير أن الكم الهائل منه يعني وجود تأخير في إزالته، قد يصل أحيانا إلى أسبوعين لإزالة المستودعات المُبلَّغ عنها.
ويُوصي باحثو Cofense بأن تعامل فرق الأمن روابط GitHub وGitLab غير المتوقعة في البريد الإلكتروني بالحذر ذاته الذي تُعامل به روابط النطاقات المجهولة، مؤكدين أن الثقة في المنصة وحدها لم تعد كافية حين يستطيع المهاجمون استضافة ملفات خبيثة أو صفحات تصيد على بنية تحتية شرعية. كما يوصون بتطبيق المصادقة متعددة العوامل على جميع الحسابات التجارية لتقليل الضرر الناجم عن سرقة بيانات الاعتماد.
