في خطوة غير مسبوقة، أعلن RubyGems – مدير الحزم القياسي للغة البرمجة روبي – عن تعليق مؤقت لتسجيل الحسابات الجديدة بعد تعرضه لهجوم خبيث واسع النطاق أدى إلى رفع مئات الحزم الضارة إلى المنصة.
تفاصيل الهجوم وأثره المباشر
ماسيج مينسفيلد، مدير المنتجات في شركة Mend.io المتخصصة في أمن سلاسل التوريد البرمجية، أكد عبر منصة X أن “الهجوم كبير ويستهدف RubyGems بشكل مباشر”، مشيرًا إلى أن التسجيلات الجديدة أُوقفت مؤقتًا لحين احتواء الأزمة.
الزوار الذين يحاولون إنشاء حساب جديد يواجهون الآن رسالة تفيد بأن التسجيلات “موقوفة مؤقتًا”. وقد تم سحب أكثر من 120 حزمة خبيثة في المرحلة الأولى، قبل أن يتضح أن الهجوم شمل أكثر من 500 حزمة ضارة نُشرت عبر حسابات آلية مزيفة.
طبيعة الهجوم والتكتيكات المستخدمة
وفقًا لتصريحات Ruby Central، فإن الهجوم اتخذ شكل حملة منسقة لنشر حزم عشوائية (spam-publishing) عبر حسابات جديدة، ما يشير إلى أن المهاجمين استهدفوا السجل نفسه وليس مجرد حزم فردية.
التحقيقات الأولية أوضحت أن هذه الحزم كانت تحمل أكواد استغلالية، بعضها يستهدف سرقة بيانات الاعتماد، وهو ما يتماشى مع موجة الهجمات الأخيرة على الأنظمة مفتوحة المصدر التي يقودها فاعلون مثل TeamPCP، والذين يستخدمون الحزم المصابة لنشر برمجيات قادرة على سرقة البيانات الحساسة وتوسيع نطاق الاختراق.
استجابة RubyGems والإجراءات الوقائية
في تحديث لاحق بتاريخ 13 مايو 2026، أعلنت RubyGems أن النشاط الخبيث قد توقف بعد حظر الحسابات الآلية المسؤولة عن الهجوم وإزالة الحزم المصابة من السجل.
كما أكدت أنها تعمل بالتنسيق مع Fastly لتفعيل جدار حماية للتطبيقات (WAF) وتشديد القيود على معدل إنشاء الحسابات، وهي إجراءات يُتوقع أن تستغرق يومين إلى ثلاثة أيام قبل إعادة فتح التسجيلات.
السياق الأوسع للهجمات على سلاسل التوريد
الهجوم على RubyGems يأتي في وقت تتزايد فيه الهجمات على سلاسل التوريد البرمجية، حيث أشار تقرير حديث من Google إلى أن بيانات الاعتماد المسروقة من هذه البيئات يتم استغلالها عبر شراكات مع مجموعات الفدية والابتزاز. هذا يعكس تحولًا خطيرًا في طبيعة التهديدات، إذ لم تعد تقتصر على استهداف مطورين أفراد، بل باتت تضرب البنى التحتية الأساسية للبرمجيات مفتوحة المصدر، ما يهدد الثقة في النظام البيئي بأكمله.
