اختراق جيت هاب: كيف تسببت إضافة VS Code في سرقة البيانات؟

أكدت جيت هاب تعرض مستودعاتها لاختراق أمني بسبب نسخة ملغومة من إضافة Nx Console، مما أدى لتسريب آلاف المستودعات البرمجية وفق ما رصده موقع تيكبامين.

في تطور خطير لأمن سلاسل التوريد البرمجية، كشفت جيت هاب (GitHub) أن اختراق مستودعاتها الداخلية ناتج عن اختراق جهاز أحد الموظفين عبر نسخة مسمومة من إضافة Nx Console الشهيرة لبرنامج مايكروسوفت فيجوال ستوديو كود (VS Code).

ما هي تفاصيل اختراق جيت هاب الأخير؟

أوضح فريق Nx أن الإضافة المتضررة (nrwl.angular-console) تم اختراقها بعد تعرض أنظمة أحد مطوريها للقرصنة. ويأتي هذا الحادث في أعقاب هجوم "TanStack" الأخير الذي ضرب عدة شركات تقنية كبرى.

وحسب تقرير تيكبامين، فقد شملت قائمة الشركات المتأثرة بهذا النوع من الهجمات ما يلي:

• شركة أوبن إيه آي (OpenAI)
• شركة ميسترال إيه آي (Mistral AI)
• مختبرات جرافانا (Grafana Labs)

من جانبها، صرحت أليكسيس ويلز، رئيسة أمن المعلومات في جيت هاب، أنه لا يوجد دليل على تأثر بيانات العملاء المخزنة خارج المستودعات الداخلية، لكنها أشارت إلى أن بعض المستودعات المخترقة تحتوي على مقتطفات من تفاعلات الدعم الفني مع العملاء.

كيف تم تنفيذ الهجوم عبر إضافة Nx Console؟

كشفت التحقيقات أن المجموعة الإجرامية المعروفة باسم TeamPCP تمكنت من سحب حوالي 3800 مستودع برمجيات. المثير للدهشة هو أن النسخة الملغومة كانت متاحة على متجر فيجوال ستوديو (Visual Studio Marketplace) لمدة 18 دقيقة فقط.

ورغم قصر هذه المدة، إلا أنها كانت كافية لنشر برمجية خبيثة قادرة على سرقة بيانات حساسة للغاية تشمل:

• خزائن 1Password
• إعدادات أنثروبيك كلاود كود (Anthropic Claude Code)
• بيانات الاعتماد لمنصات npm وجيت هاب
• مفاتيح الوصول لخدمات أمازون ويب سيرفيسز (AWS)

الآلية التقنية للهجوم الخبيث

وفقاً للباحث الأمني نير زادوك، فإن الإضافة كانت تبدو وتعمل بشكل طبيعي تماماً، لكنها عند التشغيل كانت تنفذ سراً أمراً برمجياً (Shell Command) يقوم بتحميل وتنفيذ حزمة مخفية من مستودع رسمي مخترق، مما سمح للمهاجمين بالوصول إلى أعماق الأنظمة البرمجية.

ما هي الدروس المستفادة من هذا الاختراق؟

أشار جيف كروس، المؤسس المشارك لشركة Narwhal Technologies، إلى أن هذا الحادث يسلط الضوء على ضرورة إجراء تغييرات جذرية في كيفية تأمين أدوات المطورين وتوزيع البرمجيات مفتوحة المصدر.

تؤكد الواقعة أن الافتراضات الأمنية التي اعتمد عليها النظام التقني لسنوات لم تعد كافية لمواجهة الهجمات المعقدة التي تستهدف المطورين مباشرة. وقد قامت جيت هاب باتخاذ إجراءات احترازية شملت:

• احتواء الحادث وعزل الأنظمة المتضررة
• تغيير مفاتيح السرية الحساسة (Secrets Rotation)
• مراقبة النشاطات اللاحقة لمنع أي محاولات اختراق جديدة

في الختام، يظهر اختراق جيت هاب أن حتى كبرى الشركات التقنية ليست بمنأى عن مخاطر الإضافات البرمجية البسيطة، مما يتطلب يقظة دائمة وفحصاً مستمراً للأدوات التي يعتمد عليها المبرمجون في عملهم اليومي.