كشف باحثون في الأمن السيبراني عن حملة آلية واسعة النطاق تحمل اسم Megalodon، استهدفت أكثر من 5,561 مستودعًا على GitHub عبر حقن تدفقات عمل خبيثة في أنظمة CI/CD، وذلك خلال فترة زمنية لم تتجاوز ست ساعات. الهجوم مثّل نقلة نوعية في استغلال سلاسل التوريد البرمجية، حيث اعتمد على حسابات مؤقتة وهوية مزورة لمؤلفي الأكواد، مثل: build-bot وauto-ci وci-bot وpipeline-bot.
تفاصيل الهجوم وآلية الحقن
وفق تقرير صادر عن SafeDep، قام المهاجم بحقن تدفقات عمل في GitHub Actions تحتوي على حمولة مشفّرة بـ Base64، وهي عبارة عن أوامر Bash تهدف إلى استخراج أسرار بيئة التطوير المستمرة، مثل مفاتيح SSH، بيانات اعتماد السحابة، رموز OIDC، وأسرار الأكواد المصدرية. هذه البيانات تم إرسالها إلى خادم تحكم وسيطرة (C2) محدد بعنوان 216.126.225[.]129:8443.
الهجوم شمل أكثر من 5,718 عملية دفع (commits) ضد آلاف المستودعات، من بينها حزمة @tiledesk/tiledesk-server التي تضمنت حمولة خبيثة داخل ملف تدفق عمل.
أنواع الحمولة المستخدمة
رُصد نوعان رئيسيان من الحمولة في هذه الحملة:
- SysDiag: نسخة واسعة النطاق تُضاف إلى كل تدفق عمل وتُنفذ عند كل عملية دفع أو طلب دمج.
- Optimize-Build: نسخة موجهة تُفعل فقط عند تشغيل التدفق يدويًا عبر workflow_dispatch، ما يمنح المهاجمين مرونة أكبر في استهداف بيئات محددة.
هذا التنوع في الأساليب يعكس موازنة بين الانتشار الواسع والأمن العملياتي، حيث يتيح التنفيذ التلقائي على كل دفع وصولًا أكبر، بينما يوفر التشغيل اليدوي سرية أكبر.
تداعيات على سلاسل التوريد المفتوحة المصدر
الهجوم أدى إلى تنفيذ البرمجية الخبيثة داخل خطوط إنتاج البرمجيات (CI/CD pipelines) بمجرد دمج التغييرات، مما سمح بسرقة بيانات الاعتماد على نطاق واسع. الباحثون وصفوا الأمر بأنه بداية “عصر جديد من هجمات سلاسل التوريد”، حيث لم يعد استهداف المطورين مجرد حادثة فردية، بل موجة متصاعدة من الهجمات التي تهدد النظام البيئي المفتوح المصدر بأكمله.
المجموعة المسؤولة، والمعروفة باسم TeamPCP، سبق أن استهدفت مشاريع بارزة مثل TanStack وGrafana Labs وOpenAI وMistral AI، مستخدمة أسلوبًا يشبه الديدان الإلكترونية لنشر البرمجيات الخبيثة بشكل متسلسل عبر المشاريع.
دوافع مالية وجيوسياسية
إلى جانب الدوافع المالية عبر التعاون مع منصات مثل BreachForums ومجموعات ابتزاز مثل LAPSUS$ وVECT، يبدو أن للمجموعة دوافع جيوسياسية أيضًا. فقد تم رصد نشر برمجيات مدمرة (Wiper Malware) عند اكتشاف أجهزة في إيران وإسرائيل، ما يعكس استخدام الهجمات كسلاح سياسي إلى جانب كونها أداة ابتزاز مالي.
كما دفعت هذه الهجمات منصة npm إلى إبطال الرموز المميزة التي تتجاوز المصادقة الثنائية (2FA) وحث المستخدمين على اعتماد آلية Trusted Publishing لتقليل الاعتماد على هذه الرموز، في محاولة لاحتواء انتشار البرمجيات الخبيثة.
