تعرضت منصة GitHub Actions لهجوم إلكتروني خطير يستهدف سرقة بيانات الاعتماد الحساسة عبر "التزامات وهمية" في سلاسل التوريد البرمجية، وفق ما تابعه تيكبامين.
كيف تم اختراق GitHub Actions لسرقة بيانات المطورين؟
اكتشف الباحثون الأمنيون هجوماً معقداً استهدف أدوات سير العمل الشهيرة في GitHub Actions، وتحديداً الأداة actions-cool/issues-helper. يتمثل الهجوم في إعادة توجيه "الوسوم" (Tags) الأصلية في المستودع لتشير إلى "التزامات وهمية" (Imposter Commits) لا تظهر في سجل التغييرات الطبيعي للأداة.
تحتوي هذه الالتزامات على برمجيات خبيثة مصممة لجمع بيانات الاعتماد الحساسة والمفاتيح السرية من خطوط أنابيب CI/CD أثناء تشغيل الأداة، ومن ثم إرسالها إلى خادم خارجي يتحكم فيه المهاجمون، مما يضع المشاريع البرمجية التي تعتمد على هذه الأدوات في خطر أمني مباشر.
ما هي الالتزامات الوهمية (Imposter Commits) وكيف تعمل؟
تعد الالتزامات الوهمية استراتيجية خداع متطورة في هجمات سلاسل التوريد. يتم حقن الكود الخبيث في المشروع من خلال الإشارة إلى التزام أو وسم موجود فقط في نسخة (Fork) يتحكم فيها الخصم، بدلاً من المستودع الأصلي الموثوق.
- تسمح للمهاجمين بتجاوز مراجعات طلبات السحب (Pull Request) التقليدية.
- تمنح المهاجم القدرة على تنفيذ برمجيات عشوائية على أنظمة الضحايا.
- تستغل الثقة العمياء للمطورين في الوسوم (Tags) التي تبدو رسمية.
ما هي الأدوات المتضررة من هذا الهجوم الأخير؟
وفقاً للبيانات التقنية التي حللها تيكبامين، لم يقتصر الاختراق على أداة واحدة، بل امتد ليشمل أدوات إضافية مستخدمة على نطاق واسع في مجتمع المطورين:
- actions-cool/issues-helper: تم التلاعب بجميع الوسوم الموجودة لتعمل بالكود الخبيث.
- actions-cool/maintain-one-comment: تأثر 15 وسماً مرتبطاً بهذه الأداة بنفس الوظيفة التخريبية.
- نطاق t.m-kosche[.]com: تم تحديده كخادم لتسريب البيانات المسروقة من الأنظمة المتضررة.
المثير للاهتمام هو أن هذا النطاق ارتبط سابقاً بحملة تسمى "Mini Shai-Hulud"، والتي استهدفت حزم npm من نظام @antv البيئي، مما يعزز فرضية أن هذه الهجمات جزء من حملة أوسع تستهدف المطورين عبر منصات مختلفة.
كيف استجابت شركة GitHub والخبراء لهذا التهديد؟
تحركت شركة مايكروسوفت (المالكة لمنصة جيت هاب) بسرعة لتعطيل الوصول إلى المستودعات المخترقة، مشيرة إلى وجود انتهاكات لشروط الخدمة. وعلى الرغم من تعطيل المستودعات، إلا أن الخطر يظل قائماً لأي سير عمل قام بسحب الكود الخبيث مسبقاً.
ويرى خبراء الاستخبارات الأمنية أن الارتباط بين اختراق حزم npm وأدوات GitHub Actions يشير إلى عنقود نشاط واحد ومنظم، وليس مجرد حوادث منفصلة، مما يتطلب يقظة أكبر من فرق الأمن السيبراني في الشركات.
كيف تحمي مشاريعك من هجمات سلاسل التوريد؟
بسبب طبيعة هذا الهجوم، فإن أي سير عمل يشير إلى الأداة عبر الإصدار (Version Tag) سيقوم بسحب الكود الخبيث في أول تشغيل له. ولتجنب ذلك، ينصح باتباع التدابير التالية:
- تثبيت أدوات سير العمل باستخدام SHA الكامل للالتزام المعروف والموثوق بدلاً من الوسوم.
- تقليل الاعتماد على أدوات الطرف الثالث غير الضرورية في عمليات CI/CD الحساسة.
- إجراء مراجعات دورية للأذونات الممنوحة لمفاتيح API وبيانات الاعتماد داخل بيئة التطوير.
تؤكد هذه الواقعة من جديد أن الثقة في الأدوات البرمجية الجاهزة يجب أن تكون مشروطة بإجراءات أمنية صارمة، حيث يظل المطورون هدفاً رئيسياً للهجمات التي تسعى للوصول إلى البنى التحتية الحساسة للشركات عبر أضعف حلقاتها.
