بدأت القصة عند اكتشاف هجوم استهدف مستخدمي إجراء GitHub الشهير المعروف باسم “tj-actions/changed-files”، وهو إجراء يُستخدم على نطاق واسع لأتمتة التحقق من التغييرات في ملفات المشاريع. لكن ما بدا كحادثة معزولة ضد شركة Coinbase سرعان ما اتسع نطاقه ليكشف عن هجوم متسلسل متقن شمل العشرات من المستودعات والمشاريع الأخرى.

 تفاصيل الاختراق: من SpotBugs إلى reviewdog ثم إلى tj-actions

وفقًا لتحقيقات جديدة، تم اختراق أداة التحليل الثابت “SpotBugs” في نوفمبر 2024، وهي أداة شهيرة تُستخدم لاكتشاف الأخطاء الأمنية في شيفرة Java. تم استغلال هذا الاختراق للوصول إلى مستودع مشروع آخر يُدعى “reviewdog/action-setup”، بفضل أن مشرف المشروع (Maintainer) كان يمتلك أيضًا صلاحيات على مستودعات SpotBugs.

ومن خلال هذا الاختراق المتسلسل، تمكن المهاجمون من حقن برمجيات خبيثة في إجراء tj-actions/changed-files، مما أدى إلى تعريض بيانات وحسابات مئات المستخدمين والمشاريع للخطر.

 هجوم سلسلة التوريد: مراحل متشابكة ونطاق واسع

التحقيقات كشفت أن الهجوم لم يكن بسيطًا أو عشوائيًا، بل كان:

• متعدد المراحل (Multi-step)

• تم من خلال استغلال العلاقات بين مشرفي المشاريع المختلفة

• استخدم طرقًا معقدة لاختراق أدوات تُستخدم في عمليات التكامل المستمر (CI/CD)

بعد فشل الهجوم في تحقيق اختراق مباشر في Coinbase، واصل المهاجمون استغلال الثغرات الناتجة من هذا التلاعب، ما أدى إلى تسريب أسرار وبيانات حساسة في أكثر من 218 مستودعًا على GitHub.

 الدروس المستفادة وأهمية إدارة الصلاحيات

هذا النوع من الهجمات يُسلط الضوء على مخاطر سوء إدارة رموز الوصول الشخصية (PATs)، ويكشف عن ضعف سلاسل الثقة في بيئة المصادر المفتوحة، حيث يمكن لعلاقة واحدة بين مشرفي المشاريع أن تكون بوابة لاختراق واسع النطاق.

تُشير هذه الواقعة إلى الحاجة إلى:

• مراقبة صلاحيات المشرفين عبر المشاريع

• إدارة صارمة لرموز الوصول (مثل PATs)

• تحديث وتدقيق إجراءات GitHub Actions بانتظام

• تعزيز ثقافة الأمان داخل المجتمعات المفتوحة المصدر

]]> https://ccforrs.com/%d8%b3%d8%b1%d9%82%d8%a9-%d8%b1%d9%85%d8%b2-%d9%88%d8%b5%d9%88%d9%84-%d8%b4%d8%ae%d8%b5%d9%8a-%d9%85%d9%86-spotbugs-%d8%aa%d9%82%d9%88%d8%af-%d9%84%d8%a7%d8%ae%d8%aa%d8%b1%d8%a7%d9%82-%d8%a3/feed/ 0