تكشف حسابات جيتهاب الخاملة عن أسلوب جديد يتيح للمهاجمين مسح مؤسسات الشركات عبر API، مع حالات محدودة وصلت إلى نسخ مستودعات خاصة.
ما قصة حسابات جيتهاب الخاملة ولماذا تثير القلق؟
رصد باحثون أمنيون عدة حملات متداخلة تعتمد على تعداد منظم لبيانات المؤسسات على GitHub، بما يشمل المنظمات والمستودعات وحسابات المستخدمين. المشكلة ليست في طلب واحد بعينه، بل في النمط المتكرر الذي يتحرك به عدد كبير من الحسابات عبر شركات مختلفة.
اللافت أن المهاجمين لا يعتمدون فقط على حسابات جديدة، بل يستخدمون أكثر من 50 حساباً قديماً ظل خاملاً لسنوات قبل إعادة توظيفه. هذا الأسلوب يمنح النشاط مظهراً طبيعياً ويقلل احتمالات إثارة الشكوك داخل أنظمة المراقبة.
كيف استغل المهاجمون واجهة GitHub API؟
تعتمد الحملة على أدوات جمع آلية مع وكلاء مستخدم مخصصين أو بأسماء تبدو شرعية. كما جرى استخدام رموز OAuth ورموز الوصول الشخصية PATs تعود لحسابات حقيقية تم كشفها أو اختراقها بطرق مختلفة.
وبما أن جزءاً كبيراً من واجهات GitHub متاح دون تسجيل دخول، يمكن تنفيذ استعلامات كثيرة تبدو عادية تماماً. ووفقاً لما تتابعه تيكبامين، فإن هذا يجعل حركة المسح تختلط بالاستخدام اليومي الطبيعي للمنصة.
ما الذي يمكن للمهاجمين معرفته؟
- المنظمات العامة المرتبطة بالشركة
- المستودعات العامة وأسماء المشاريع
- أعضاء الفرق والمستخدمون المرتبطون بها
- أنماط المتابعة والتعاون بين الحسابات
- المشاريع التي يعدلها المطورون بشكل متكرر
هل وصلت الهجمات إلى مستودعات خاصة فعلاً؟
في أغلب الحالات، اقتصر النشاط على جمع بيانات عامة لأغراض الاستطلاع الرقمي. لكن بعض الوقائع المؤكدة تجاوزت ذلك، إذ تمكن المهاجمون من الوصول إلى البيانات بصورة عملية ونسخ مستودع خاص تابع لإحدى المؤسسات.
هذه النقطة ترفع مستوى الخطورة، لأن مرحلة الاستطلاع غالباً ما تكون مقدمة لهجمات أكبر. فعندما يفهم المهاجم بنية الفريق والمشاريع والأذونات، يصبح استهداف الحسابات أو سلاسل التوريد البرمجية أكثر سهولة.
لماذا تبدو هذه الطلبات عادية رغم خطورتها؟
الطلبات الفردية في حد ذاتها لا تبدو شاذة: نقاط نهاية عامة، مصادقة سليمة أحياناً، وردود ناجحة من الخادم. لكن الخطر الحقيقي يظهر عند جمع الصورة الكاملة، أي عندما تتحرك مجموعة حسابات بشكل متزامن وعلى مدى أسابيع.
كما أن استخدام حسابات قديمة خالية من النشاط السابق يمنح الحملة غطاءً إضافياً. بدلاً من إنشاء حسابات جديدة والبدء فوراً في الكشط، يجري استغلال سجل زمني قديم لتمرير الحركة على أنها شرعية.
كيف تحمي الشركات نفسها من حسابات جيتهاب الخاملة؟
الحماية هنا لا تعتمد على حظر طلبات API فقط، بل على تحليل السلوك المجمع وربط الأحداث ببعضها. وتنصح تيكبامين المؤسسات بتدقيق الرموز المميزة، ومراجعة الحسابات المرتبطة، ومراقبة أنماط النسخ غير المعتادة للمستودعات.
- إلغاء رموز PATs غير المستخدمة فوراً
- تفعيل المصادقة متعددة العوامل لكل الحسابات
- مراجعة تطبيقات OAuth الممنوحة صلاحيات قديمة
- رصد الحسابات التي تنتقل فجأة من الخمول إلى نشاط واسع
- تقييد الوصول إلى المستودعات الخاصة وفق أقل صلاحية ممكنة
في النهاية، تؤكد حسابات جيتهاب الخاملة أن التهديد قد يبدأ بخطوات هادئة للغاية قبل أن يتحول إلى اختراق فعلي، لذلك يجب التعامل مع الاستطلاع المبكر كإنذار أمني جاد.