وقالت وحدة الأبحاث الأمنية “Unit 42” التابعة لشركة Palo Alto Networks في تحديث جديد:

“استغل المهاجمون سير عمل GitHub Actions الخاص بمشروع SpotBugs – وهو أداة مفتوحة المصدر شائعة لتحليل الأكواد الثابت – ما أتاح لهم التحرك أفقيًا بين مستودعات SpotBugs إلى أن حصلوا على وصول إلى مشروع reviewdog.”

تشير الأدلة إلى أن النشاط الخبيث بدأ في أواخر نوفمبر 2024، رغم أن الهجوم على Coinbase لم يحدث حتى مارس 2025.

تفاصيل الاختراق الأمني في GitHub

أوضحت “Unit 42” أن التحقيق بدأ بعد اكتشاف تسريب رمز PAT خاص بمسؤول مشروع reviewdog، ما مكن المهاجمين من رفع إصدار خبيث من الحزمة “reviewdog/action-setup”. وبسبب اعتماد مشروع “tj-actions/eslint-changed-files” على هذه الحزمة، تم سحب الإصدار الخبيث تلقائيًا.

في تطور لاحق، تبيّن أن المسؤول ذاته كان مشاركًا نشطًا في مشروع SpotBugs أيضًا.

المهاجمون استغلوا هذا الأمر لرفع ملف Workflow خبيث في مستودع “spotbugs/spotbugs” باستخدام اسم مستخدم مزيف “jurkaofavak”، ما تسبب في تسريب رمز PAT الخاص بالمسؤول عند تنفيذ سير العمل.

يُعتقد أن الرمز ذاته أتاح الوصول إلى مشروعي “spotbugs/spotbugs” و”reviewdog/action-setup”، ما مكن المهاجمين من تلويث سلسلة التوريد الخاصة بـ GitHub.

كيف حصل المهاجم على صلاحية الكتابة في SpotBugs؟

وفقًا للتحقيق، تبين أن المستخدم الخبيث “jurkaofavak” حصل على دعوة عضوية رسمية في مستودع SpotBugs من قبل أحد مسؤولي المشروع بتاريخ 11 مارس 2025.

وذكرت “Unit 42”:

“تمكن المهاجم من إنشاء فرع في المستودع والوصول إلى أسرار CI (التكامل المستمر)، باستخدام صلاحيات الكتابة التي حصل عليها عبر الدعوة.”

وقد تم تنفيذ الهجوم الأولي عبر إنشاء Fork خبيث لمستودع “spotbugs/sonar-findbugs” تحت اسم مستخدم آخر “randolzfow”، ثم إرسال طلب دمج (Pull Request) يحتوي على كود خبيث.

استغلال GitHub Actions عبر pull_request_target

في 28 نوفمبر 2024، عدّل مسؤول SpotBugs سير العمل الخاص بـ GitHub Actions ليستخدم رمز PAT الخاص به شخصيًا لحل مشاكل في بيئة CI/CD.

لاحقًا، في 6 ديسمبر 2024، قدم المهاجم طلب دمج خبيث استغل مشغل GitHub “pull_request_target”، الذي يسمح بتشغيل الأكواد من الـ forks مع صلاحيات الوصول إلى الأسرار – وهو ما أدى إلى تنفيذ هجوم pipeline مسموم (PPE) وتسريب الرمز.

وقد أكد المسؤول لاحقًا أن نفس الرمز الذي تم استخدامه في سير العمل هو الذي تم استخدامه لدعوة المهاجم إلى المستودع الرئيسي، وتم بالفعل تدوير جميع الرموز والـ PATs لمنع أي اختراقات مستقبلية.

ما الذي يثير القلق؟

من المثير للشك أن هناك فجوة زمنية لمدة 3 أشهر بين تسريب رمز SpotBugs واستخدامه الفعلي في الهجوم، ما يشير إلى أن المهاجمين كانوا يراقبون عن كثب المشاريع المعتمدة على “tj-actions/changed-files”، في انتظار فرصة لاستهداف جهة ذات قيمة عالية مثل Coinbase.

وتساءل باحثو Unit 42:

“بعد كل هذا الاستثمار والتخطيط، لماذا كشف المهاجمون عن أنفسهم بطباعة الأسرار في السجلات؟ هل كانت هذه خطأ أم خطوة محسوبة؟”

خاتمة وتحذير أمني

هذا الحادث يسلط الضوء على مدى هشاشة سلاسل التوريد البرمجية المفتوحة المصدر، ومدى خطورة الاعتماد على الرموز الشخصية في بيئات التكامل المستمر، خاصةً عند استخدام مشغلات مثل pull_request_target.

التوصية الأمنية: يجب على المطورين مراجعة إعدادات GitHub Actions، واستخدام رموز وصول مؤقتة أو محدودة الصلاحية، وتجنب استخدام رموز شخصية داخل سير العمل العام.

تُستخدم لغة SAML، وهي لغة قائمة على XML ومعيار مفتوح، لتبادل بيانات المصادقة والتفويض بين الأطراف، مما يتيح ميزات مثل المصادقة الموحدة (SSO)، التي تسمح للأفراد باستخدام مجموعة واحدة من بيانات الاعتماد للوصول إلى مواقع وخدمات وتطبيقات متعددة.

تم تعقب الثغرتين تحت معرفي CVE-2025-25291 وCVE-2025-25292، وحصلتا على تقييم CVSS بقيمة 8.8 من 10.0. تؤثر هذه الثغرات على الإصدارات التالية من المكتبة:

• الإصدارات الأقدم من 1.12.4
• الإصدارات من 1.13.0 إلى ما قبل 1.18.0

تفاصيل الثغرات

تنشأ الثغرتان من الاختلاف في طريقة تحليل مكتبتي REXML وNokogiri لملفات XML، مما يؤدي إلى إنشاء هياكل وثائق مختلفة تمامًا لنفس المدخلات. هذا الاختلاف في التحليل يتيح للمهاجمين تنفيذ هجوم يُعرف باسم Signature Wrapping، مما يؤدي إلى تجاوز إجراءات المصادقة.

تم إصلاح هذه الثغرات في إصدارات ruby-saml 1.12.4 و1.18.0.

تأثير الثغرات

قالت GitHub، التي اكتشفت وأبلغت عن الثغرات في نوفمبر 2024، إنه يمكن استغلالها من قبل الجهات الخبيثة لتنفيذ هجمات استيلاء على الحسابات.

وأوضح الباحث في GitHub Security Lab، بيتر ستوكلي، في منشور: “يمكن للمهاجمين الذين يمتلكون توقيعًا صالحًا واحدًا تم إنشاؤه باستخدام المفتاح المستخدم للتحقق من استجابات أو تأكيدات SAML الخاصة بالمنظمة المستهدفة، استخدامه لإنشاء تأكيدات SAML بأنفسهم، وبالتالي تسجيل الدخول كأي مستخدم.”

وأضافت GitHub أن المشكلة تكمن في “انفصال” بين التحقق من الهاش (Hash) والتحقق من التوقيع، مما يفتح الباب للاستغلال عبر الاختلاف في تحليل XML.

إصلاحات إضافية

تضمنت الإصدارات 1.12.4 و1.18.0 أيضًا إصلاحًا لثغرة رفض الخدمة عن بُعد (DoS) عند التعامل مع استجابات SAML المضغوطة (تم تعقبها تحت معرف CVE-2025-25293، بتقييم CVSS بقيمة 7.7). يُنصح المستخدمون بالتحديث إلى الإصدار الأحدث للحماية من التهديدات المحتملة.

خلفية عن الثغرات

جاء هذا الكشف بعد حوالي ستة أشهر من قيام GitLab وruby-saml بإصلاح ثغرة حرجة أخرى (تم تعقبها تحت معرف CVE-2024-45409، بتقييم CVSS بقيمة 10.0)، والتي يمكن أن تؤدي أيضًا إلى تجاوز إجراءات المصادقة.