وقالت وحدة الأبحاث الأمنية “Unit 42” التابعة لشركة Palo Alto Networks في تحديث جديد:

“استغل المهاجمون سير عمل GitHub Actions الخاص بمشروع SpotBugs – وهو أداة مفتوحة المصدر شائعة لتحليل الأكواد الثابت – ما أتاح لهم التحرك أفقيًا بين مستودعات SpotBugs إلى أن حصلوا على وصول إلى مشروع reviewdog.”

تشير الأدلة إلى أن النشاط الخبيث بدأ في أواخر نوفمبر 2024، رغم أن الهجوم على Coinbase لم يحدث حتى مارس 2025.

تفاصيل الاختراق الأمني في GitHub

أوضحت “Unit 42” أن التحقيق بدأ بعد اكتشاف تسريب رمز PAT خاص بمسؤول مشروع reviewdog، ما مكن المهاجمين من رفع إصدار خبيث من الحزمة “reviewdog/action-setup”. وبسبب اعتماد مشروع “tj-actions/eslint-changed-files” على هذه الحزمة، تم سحب الإصدار الخبيث تلقائيًا.

في تطور لاحق، تبيّن أن المسؤول ذاته كان مشاركًا نشطًا في مشروع SpotBugs أيضًا.

المهاجمون استغلوا هذا الأمر لرفع ملف Workflow خبيث في مستودع “spotbugs/spotbugs” باستخدام اسم مستخدم مزيف “jurkaofavak”، ما تسبب في تسريب رمز PAT الخاص بالمسؤول عند تنفيذ سير العمل.

يُعتقد أن الرمز ذاته أتاح الوصول إلى مشروعي “spotbugs/spotbugs” و”reviewdog/action-setup”، ما مكن المهاجمين من تلويث سلسلة التوريد الخاصة بـ GitHub.

كيف حصل المهاجم على صلاحية الكتابة في SpotBugs؟

وفقًا للتحقيق، تبين أن المستخدم الخبيث “jurkaofavak” حصل على دعوة عضوية رسمية في مستودع SpotBugs من قبل أحد مسؤولي المشروع بتاريخ 11 مارس 2025.

وذكرت “Unit 42”:

“تمكن المهاجم من إنشاء فرع في المستودع والوصول إلى أسرار CI (التكامل المستمر)، باستخدام صلاحيات الكتابة التي حصل عليها عبر الدعوة.”

وقد تم تنفيذ الهجوم الأولي عبر إنشاء Fork خبيث لمستودع “spotbugs/sonar-findbugs” تحت اسم مستخدم آخر “randolzfow”، ثم إرسال طلب دمج (Pull Request) يحتوي على كود خبيث.

استغلال GitHub Actions عبر pull_request_target

في 28 نوفمبر 2024، عدّل مسؤول SpotBugs سير العمل الخاص بـ GitHub Actions ليستخدم رمز PAT الخاص به شخصيًا لحل مشاكل في بيئة CI/CD.

لاحقًا، في 6 ديسمبر 2024، قدم المهاجم طلب دمج خبيث استغل مشغل GitHub “pull_request_target”، الذي يسمح بتشغيل الأكواد من الـ forks مع صلاحيات الوصول إلى الأسرار – وهو ما أدى إلى تنفيذ هجوم pipeline مسموم (PPE) وتسريب الرمز.

وقد أكد المسؤول لاحقًا أن نفس الرمز الذي تم استخدامه في سير العمل هو الذي تم استخدامه لدعوة المهاجم إلى المستودع الرئيسي، وتم بالفعل تدوير جميع الرموز والـ PATs لمنع أي اختراقات مستقبلية.

ما الذي يثير القلق؟

من المثير للشك أن هناك فجوة زمنية لمدة 3 أشهر بين تسريب رمز SpotBugs واستخدامه الفعلي في الهجوم، ما يشير إلى أن المهاجمين كانوا يراقبون عن كثب المشاريع المعتمدة على “tj-actions/changed-files”، في انتظار فرصة لاستهداف جهة ذات قيمة عالية مثل Coinbase.

وتساءل باحثو Unit 42:

“بعد كل هذا الاستثمار والتخطيط، لماذا كشف المهاجمون عن أنفسهم بطباعة الأسرار في السجلات؟ هل كانت هذه خطأ أم خطوة محسوبة؟”

خاتمة وتحذير أمني

هذا الحادث يسلط الضوء على مدى هشاشة سلاسل التوريد البرمجية المفتوحة المصدر، ومدى خطورة الاعتماد على الرموز الشخصية في بيئات التكامل المستمر، خاصةً عند استخدام مشغلات مثل pull_request_target.

التوصية الأمنية: يجب على المطورين مراجعة إعدادات GitHub Actions، واستخدام رموز وصول مؤقتة أو محدودة الصلاحية، وتجنب استخدام رموز شخصية داخل سير العمل العام.

وقالت شركة GreyNoise المتخصصة في استخبارات التهديدات: “تشير هذه الأنماط إلى جهود منسقة لاختبار دفاعات الشبكات وتحديد الأنظمة المعرّضة أو الضعيفة، ربما تمهيدًا لاستغلالها لاحقًا.”

تفاصيل الهجوم:

• بدأت الموجة الهجومية في 17 مارس 2025، ووصلت إلى ذروتها بـ 23,958 عنوان IP يوميًا قبل أن تتراجع في 26 مارس.
• من بين العناوين المشاركة، تم تصنيف 154 عنوانًا فقط على أنها ضارة.
• الولايات المتحدة وكندا تصدرتا مصادر الهجوم، تليهما فنلندا، هولندا، وروسيا.
• أكثر الأنظمة المستهدفة كانت في الولايات المتحدة، المملكة المتحدة، أيرلندا، روسيا، وسنغافورة.

دوافع محتملة واستجابة الشركات:

لا يزال الدافع وراء هذه الهجمات غير واضح، لكنها قد تكون اختبارًا ممنهجًا لدفاعات الشبكات كتمهيد لاستغلال ثغرات مستقبلية.

وصرح بوب روديس، نائب رئيس علوم البيانات في GreyNoise: “خلال الـ18 إلى 24 شهرًا الماضية، لاحظنا أنماطًا متكررة لاستهداف ثغرات قديمة أو محاولات استطلاع ضد تقنيات محددة، وغالبًا ما تسبق اكتشاف ثغرات جديدة بعد 2 إلى 4 أسابيع.”

ونصحت Palo Alto Networks عملاءها بتحديث أنظمتهم، قائلة: “فرقنا تراقب الوضع عن كثب، وننصح جميع العملاء بتشغيل أحدث إصدارات PAN-OS.”

تحذيرات إضافية:

كشفت GreyNoise أيضًا عن زيادة في الهجمات ضد أجهزة F5، Ivanti، Linksys، SonicWall، Zoho ManageEngine، وZyxel بدءًا من 28 مارس 2025، مما يشير إلى محاولات استغلال محتملة.

توصيات أمنية:

• تحديث الأنظمة بآخر التصحيحات الأمنية.
• مراقبة حركة الشبكة لاكتشاف أي نشاط غير طبيعي.
• حظر العناوين الضارة المعروفة.

يجب على المؤسسات التي تستخدم بوابات GlobalProtect تعزيز إجراءات الأمن لتفادي أي استغلال محتمل.

تفاصيل المكافآت والمجالات المستهدفة

🔹 3.3 مليون دولار من إجمالي المكافآت ذهبت إلى الباحثين الذين اكتشفوا ثغرات حرجة في نظام أندرويد وتطبيقات جوجل المحمولة.
🔹 في إطار التركيز المتزايد على أمن الذكاء الاصطناعي، تلقت جوجل 185 تقريرًا حول ثغرات أمنية في منتجاتها المدعومة بالذكاء الاصطناعي، مع مكافآت تجاوزت 140,000 دولار.

ما أهمية هذا البرنامج؟

يُعد VRP واحدًا من أكبر برامج مكافآت الثغرات في العالم، حيث تشجع جوجل الباحثين الأمنيين على تقديم تقارير مفصلة عن الثغرات الأمنية قبل أن يتم استغلالها من قبل جهات التهديد. وقد تمكن البرنامج من سد العديد من الثغرات التي كان من الممكن أن تشكل مخاطر على بيانات المستخدمين والبنية التحتية الرقمية.

الكشف عن خمس ثغرات خطيرة في نظام ICONICS Suite لأنظمة SCADA

كشف باحثون أمنيون عن خمس ثغرات أمنية خطيرة في نظام ICONICS Suite، وهو أحد أنظمة التحكم الإشرافي وجمع البيانات (SCADA) المستخدمة في البيئات الصناعية والبنية التحتية الحيوية.

🔹 قائمة الثغرات المكتشفة:

• CVE-2024-1182
• CVE-2024-7587
• CVE-2024-8299
• CVE-2024-9852
• CVE-2024-8300

مخاطر هذه الثغرات

يمكن للمهاجمين الذين يمتلكون صلاحيات محدودة استغلال هذه الثغرات لتنفيذ:
✅ تنفيذ أكواد عشوائية قد تؤدي إلى تشغيل برمجيات ضارة داخل النظام.
✅ رفع الامتيازات للحصول على صلاحيات إدارية داخل الأنظمة المستهدفة.
✅ التلاعب بالملفات الحيوية، مما قد يؤدي إلى تعطيل العمليات التشغيلية أو تعديل البيانات بشكل خطير.

🔹 في هجوم سيبراني حقيقي على الأنظمة الصناعية، يمكن للمهاجم الذي يمتلك وصولًا مبدئيًا إلى النظام استغلال هذه الثغرات لتعطيل البنية التحتية، أو حتى السيطرة الكاملة على النظام.

🚨 تحذير من Palo Alto Networks
صرّحت وحدة Unit 42 التابعة لـ Palo Alto Networks بأن:
“هذه الثغرات مجتمعة تمثل تهديدًا كبيرًا لسرية البيانات، وسلامة النظام، وتوافره، ما يجعلها هدفًا محتملاً لهجمات متقدمة.”

🛡️ كيفية الحماية؟

• تحديث نظام ICONICS Suite إلى آخر إصدار يحتوي على إصلاحات أمنية.
• تقييد وصول المستخدمين إلى الأنظمة الصناعية.
• تطبيق آليات مراقبة الشبكة لاكتشاف أي نشاط مشبوه.

تصاعد استغلال أدوات الوصول عن بُعد من قبل المهاجمين

تشهد الهجمات الإلكترونية تحولًا جديدًا في تكتيكات القراصنة، حيث أصبحت أدوات الإدارة عن بُعد (RMM) مثل:

• ScreenConnect
• Fleetdeck
• Atera
• Bluetrait

تُستخدم بشكل متزايد من قبل جهات التهديد مثل TA583 و TA2725 و UAC-0050 لتنفيذ هجمات إلكترونية عبر حملات البريد الإلكتروني الاحتيالية.

كيف يتم استغلال هذه الأدوات؟

📌 يتم إرسال رسائل بريد إلكتروني مزيفة تحتوي على روابط أو مرفقات خبيثة، تدعو المستخدمين إلى تثبيت برامج RMM.
📌 بمجرد تثبيت هذه الأدوات، يتمكن المهاجمون من:
✅ سرقة البيانات الحساسة مثل بيانات تسجيل الدخول والملفات السرية.
✅ تنفيذ هجمات الفدية عبر تشفير الملفات والمطالبة بدفع فدية.
✅ التحرك الجانبي داخل الشبكات لنشر البرمجيات الضارة إلى أنظمة أخرى.

🔹 وفقًا لتقرير Proofpoint:
“من السهل على المهاجمين تصميم وتوزيع أدوات إدارة عن بُعد خاصة بهم، ما يجعلها وسيلة فعالة لنشر الهجمات، خاصة وأنها تبدو للمستخدمين كبرامج مشروعة.”

🚨 لماذا يصعب اكتشاف هذه الهجمات؟

• غالبًا ما تحمل هذه الأدوات توقيعات رقمية شرعية، مما يجعل برامج مكافحة الفيروسات تتجاهلها.
• نظرًا لاستخدامها في الإدارة الشرعية للشبكات، قد لا تثير أي شكوك لدى مسؤولي الأمن السيبراني.

🛡️ كيف يمكن حماية الأنظمة من هذه الهجمات؟
✅ تقييد استخدام أدوات RMM داخل الشبكة، والسماح بها فقط بناءً على سياسات أمنية صارمة.
✅ مراقبة سجلات الشبكة لاكتشاف أي اتصالات غير طبيعية بهذه الأدوات.
✅ استخدام حلول الكشف عن التهديدات (EDR) لتعطيل العمليات المشبوهة فورًا.

وقالت الباحثة الأمنية مارغريت كيلي: “ركزت المجموعة تاريخيًا على تشويه مواقع الويب. وفي عام 2022، تحولت إلى إرسال رسائل التصيد لتحقيق مكاسب مالية.”

أمان السحابة
من الجدير بالذكر أن هذه الهجمات لا تستغل أي ثغرة في AWS، بل تعتمد على سوء التكوين في بيئات الضحايا الذي يعرض مفاتيح الوصول إلى AWS، مما يسمح للمهاجمين بإرسال رسائل التصيد عبر إساءة استخدام خدمات Amazon Simple Email Service (SES) وWorkMail).

وبهذه الطريقة، يتمكن المهاجمون من تجنب استضافة أو دفع تكاليف البنية التحتية الخاصة بهم لتنفيذ الأنشطة الخبيثة. بالإضافة إلى ذلك، تمكن هذه الطريقة رسائل التصيد من تجاوز إجراءات الحماية في البريد الإلكتروني، حيث تأتي الرسائل من جهة معروفة سبق أن تلقتها المنظمة المستهدفة.

وأوضحت كيلي: “حصلت JavaGhost على مفاتيح وصول طويلة الأمد معروضة للعامة مرتبطة بمستخدمي إدارة الهوية والوصول (IAM)، مما سمح لهم بالوصول الأولي إلى بيئة AWS عبر واجهة سطر الأوامر (CLI).”

تطور تكتيكات القراصنة
“بين عامي 2022 و2024، طورت المجموعة تكتيكاتها لتشمل تقنيات أكثر تقدمًا لتجنب الكشف، مثل محاولة إخفاء الهويات في سجلات CloudTrail. وقد استُخدم هذا التكتيك سابقًا من قبل مجموعة Scattered Spider.”

بمجرد تأكيد الوصول إلى حساب AWS الخاص بالمنظمة، يُعرف عن المهاجمين أنهم يقومون بإنشاء بيانات اعتماد مؤقتة وروابط تسجيل دخول للوصول إلى وحدة التحكم. وهذا يمنحهم القدرة على إخفاء هوياتهم والحصول على رؤية للموارد داخل حساب AWS.

استخدام SES وWorkMail
لاحقًا، لوحظ أن المجموعة تستخدم SES وWorkMail لإنشاء بنية تحتية للتصيد، وإنشاء مستخدمين جدد في SES وWorkMail، وإعداد بيانات اعتماد SMTP جديدة لإرسال رسائل البريد الإلكتروني.

وقالت كيلي: “خلال فترة الهجمات، تقوم JavaGhost بإنشاء مستخدمين مختلفين في IAM، بعضهم يستخدمونه أثناء الهجمات والبعض الآخر لا يستخدمونه أبدًا. ويبدو أن المستخدمين غير المستخدمين يعملون كآليات استمرارية طويلة الأمد.”

تكتيكات متقدمة
أحد الجوانب البارزة في أسلوب عمل جهات التهديد هو إنشاء دور IAM جديد مع سياسة ثقة مرفقة، مما يسمح لهم بالوصول إلى حساب AWS الخاص بالمنظمة من حساب AWS آخر تحت سيطرتهم.

واختتمت Unit 42: “تواصل المجموعة ترك نفس البصمة خلال هجماتها عن طريق إنشاء مجموعات أمان جديدة في Amazon Elastic Cloud Compute (EC2) تحمل اسم Java_Ghost، مع وصف المجموعة ‘نحن هنا ولكننا غير مرئيين’. ولا تحتوي هذه المجموعات على أي قواعد أمان، وعادةً لا تحاول المجموعة إرفاقها بأي موارد. ويظهر إنشاء مجموعات الأمان هذه في سجلات CloudTrail ضمن أحداث CreateSecurityGroup.”