GitHub يؤكد اختراق 3800 مستودع داخلي عبر إضافة VS Code خبيثة

قد يبدو تثبيت إضافة برمجية في بيئة العمل خطوة عابرة لا تستحق التفكير مرتين. نقرة سريعة داخل متجر Visual Studio Code، ثم نواصل كتابة الشيفرة. لكن في عالم يعتمد على سلاسل التوريد البرمجية، قد تتحول هذه النقرة إلى بوابة خلفية تطال آلاف المستودعات دفعة واحدة. هذا تماماً ما حدث عندما كشفت GitHub عن اختراق طال نحو 3,800 مستودع داخلي بعد تثبيت موظف إضافة خبيثة.

بحسب ما أعلنته GitHub، تم اكتشاف النشاط غير المشروع واحتواؤه سريعاً، مع إزالة الإضافة المسمومة، وعزل الجهاز المتأثر، وتدوير بيانات الاعتماد الحساسة. التقدير الأولي يتوافق مع ادعاء مجموعة TeamPCP التي قالت إنها حصلت على ما يقارب 3,800 مستودع داخلي وعرضتها للبيع في منتدى تخصصه الجرائم السيبرانية مقابل ما لا يقل عن 50 ألف دولار.

المثير أن المجموعة شددت على أن الأمر ليس ابتزازاً تقليدياً، بل عرض بيع مباشر لنسخة من البيانات، مهددة بنشرها مجاناً إن لم تجد مشترياً. هذا يضيف بعداً مختلفاً للمشهد، حيث لم يعد الهدف دائماً الضغط المالي على الضحية، بل استثمار البيانات نفسها كأصل تجاري.

الهجوم اعتمد على إضافة خبيثة ضمن سوق إضافات VS Code، منحت المهاجمين وصولاً إلى رموز تسجيل الدخول، ومفاتيح SSH، وأسرار خدمات سحابية مخزنة على جهاز المطور. هذه النقطة بالذات تعكس هشاشة سلسلة التوريد البرمجية، حيث يمكن لأداة صغيرة ضمن بيئة تطوير متكاملة أن تصبح نقطة ارتكاز لاختراق أوسع.

المجموعة نفسها ارتبط اسمها بسلسلة هجمات منذ مارس 2026 طالت أدوات ومكتبات مفتوحة المصدر معروفة، من بينها Trivy وKICS وحزم npm مختلفة، إضافة إلى حزم منشورة على PyPI. البرمجية الخبيثة التي استخدموها، والمُسماة Mini Shai-Hulud، صممت لتنتشر ذاتياً باستخدام رموز وصول مسروقة، مع تركيز خاص على جمع بيانات السحابة وخزائن كلمات المرور.

GitHub أوضحت أنه لا توجد حالياً أدلة على تأثر بيانات العملاء خارج المستودعات الداخلية. بمعنى آخر، لم تُسجَّل مؤشرات على اختراق مستودعات المستخدمين أو المؤسسات أو الشركات التي تستضيف مشاريعها على المنصة.

لكن حتى مع هذا التطمين، يظل تسريب مستودعات داخلية مسألة حساسة. فكثير من الأدوات الداخلية تكشف عن بنى تحتية، آليات أمان، أو تفاصيل هندسية قد تُستخدم لاحقاً في هجمات أكثر تعقيداً. التأثير هنا قد لا يكون فورياً، لكنه قابل للتمدد زمنياً.

المطور اليوم يمتلك مفاتيح كثيرة: وصول إلى منصات سحابية، مستودعات إنتاج، أنظمة CI/CD، وأحياناً إلى بنى شركات كاملة. جهاز المطور أصبح كنقطة مركزية تجمع كل هذه الامتيازات. لذلك أصبح استهداف بيئة التطوير نفسها، عبر إضافة أو حزمة برمجية، أكثر جدوى من مهاجمة الخوادم مباشرة.

حادثة GitHub ليست مجرد رقم كبير في سجل الاختراقات، بل مؤشر على أن معركة الأمن السيبراني انتقلت بوضوح إلى طبقة الأدوات اليومية. الحديث لم يعد عن خوادم وقواعد بيانات فقط، بل عن إضافات، حزم npm، مكتبات Python، وأدوات اختبار الثغرات.

هذا التحول يعيد طرح سؤال الثقة في المنصات المفتوحة والأسواق الرقمية للإضافات. ليس من منطلق التشكيك، بل لإعادة التفكير في آليات التحقق، ومراجعة الشيفرات، وإدارة الامتيازات داخل فرق التطوير.

في النهاية، القصة لا تتعلق بموظف ثبّت إضافة خبيثة، بل ببنية تقنية كاملة أصبحت مترابطة إلى حد يجعل أي تفصيل صغير قادراً على إحداث أثر واسع. ومع استمرار توسع البيئات السحابية واعتماد المؤسسات على أدوات مفتوحة المصدر، سيبقى الأمن مسألة توازن دقيق بين الكفاءة والثقة واليقظة المستمرة.