نقطة
الكتابات/news/2026/05
News21 مايو 2026·6 دقيقة

غيت‌هاب تؤكد تسريب 3800 مستودع داخلي عبر إضافة VS Code خبيثة

أكد مسؤول أمن المعلومات في غيت‌هاب تسريب نحو 3800 مستودع داخلي بعد تثبيت أحد المهندسين نسخة خبيثة من إضافة Nx Console الخاصة بـ VS Code، وذلك على خلفية هجوم سلسلة الإمداد الذي طال حزم TanStack على npm. مجموعة TeamPCP تعرض الشيفرة المسروقة للبيع بخمسين ألف دولار.

AI Bot
AI Bot
Author
·EN · FR · AR

أكدت شركة غيت‌هاب هذا الأسبوع أن نحو 3800 مستودع من مستودعاتها الداخلية قد تم تسريبها بعد أن قام أحد مهندسيها بتثبيت نسخة خبيثة من إضافة Nx Console الرسمية لـ Visual Studio Code. وقد أعلن عن الحادثة رئيس أمن المعلومات في الشركة أليكسيس وايلز في تدوينة تفصيلية نشرها مساء الأربعاء، ليرتبط الاختراق بشكل مباشر بهجوم سلسلة الإمداد الأوسع الذي ضرب حزم TanStack على npm خلال الأسبوع الماضي.

أبرز النقاط

  • تم الوصول إلى نحو 3800 مستودع داخلي تابع لغيت‌هاب وتسريب محتواها من قبل مجموعة تطلق على نفسها اسم TeamPCP.
  • ناقل الهجوم كان نسخة ملغومة من إضافة Nx Console 18.95.0، وهي الإضافة الرسمية لأدوات Nx الخاصة بإدارة المستودعات الكبرى.
  • بقيت الإضافة الخبيثة متاحة على متجر Visual Studio لمدة 18 دقيقة فقط يوم 18 ماي 2026، وعلى OpenVSX لمدة 36 دقيقة.
  • عرضت مجموعة TeamPCP الشيفرة المصدرية المسروقة على منتدى Breached للجرائم السيبرانية مقابل خمسين ألف دولار على الأقل.
  • أكدت غيت‌هاب أن بيانات العملاء المحفوظة خارج المستودعات المخترقة لم تُسرَق، وأن مستودعات المستخدمين العامة لم تتأثر.

ماذا حدث

وفقاً لغيت‌هاب، تم اختراق نقطة طرفية واحدة لموظف بعد تثبيته للنسخة الخبيثة من Nx Console. وعند تشغيل الإضافة، كانت تنفّذ بصمت أمر صدفة (shell) يقوم بسحب وتشغيل حمولة خفية من إيداع مزروع في مستودع nrwl/nx الرسمي على غيت‌هاب، متنكرة في هيئة مهمة إعداد روتينية لبروتوكول Model Context Protocol.

كانت هذه الحمولة عبارة عن سارق بيانات اعتماد مصمَّم لجمع الأسرار من طيف واسع من أدوات المطورين: خزائن 1Password، وإعدادات Anthropic Claude Code، ورموز npm، وبيانات اعتماد غيت‌هاب، ومفاتيح AWS، وملفات kubeconfig الخاصة بـ Kubernetes، إضافة إلى بيانات اعتماد GCP وDocker. ومن ثم استخدمت TeamPCP هذه البيانات للتسلل إلى البنية الداخلية لإدارة الشيفرات في غيت‌هاب واستنساخ المستودعات المعنية.

الارتباط بحزم TanStack

كشف فريق Nx أن إضافته تم تسميمها في أعقاب اختراق سلسلة الإمداد الأخير لـ TanStack، حيث اخترق المهاجمون نظام أحد مطوريها. وقد تم ربط نفس سلسلة الهجوم بمحاولات سرقة بيانات اعتماد طالت كذلك OpenAI وMistral AI وGrafana Labs، ما يشير إلى أن TeamPCP تستهدف بشكل منهجي مؤسسات المطورين عالية القيمة عبر قنوات npm ومتجر VS Code.

ووصفت شركة الأمن StepSecurity، التي تتابع الحملة، اختراق Nx Console بأنه هجوم سلسلة إمداد من الدرجة الثانية بشكل نموذجي: المطورون يثقون في إضافات بيئة التطوير الخاصة بهم أكثر بكثير مما يثقون في الحزم المعتمدة، وقليلة هي المؤسسات التي تدقّق تحديثات الإضافات بنفس الصرامة التي تدقق بها ملفات الحزم.

رد غيت‌هاب

قال أليكسيس وايلز، رئيس أمن المعلومات في غيت‌هاب، في تقرير الحادثة إن الاستجابة جرت على ثلاث مراحل:

  • الاحتواء: تم عزل جهاز الموظف المخترق وإزالة النسخة الخبيثة من الإضافة من التداول.
  • التدوير: وكتب وايلز أن الشركة "قامت بتدوير الأسرار الحرجة يوم الإثنين وحتى الثلاثاء مع إعطاء الأولوية القصوى لبيانات الاعتماد الأشد تأثيراً".
  • التحقق: تم تحليل السجلات عبر البنية الإنتاجية لغيت‌هاب للتأكد من تدوير الأسرار ورصد أي نشاط لاحق.

وشدّدت الشركة على أنه لا يوجد دليل على أن بيانات العملاء المحفوظة خارج المستودعات الداخلية المتأثرة قد سُرقت، وأن أي مستودعات عامة للمستخدمين على GitHub.com لم تُمس.

التأثير

بالنسبة لمنظومة المطورين الأوسع، تعيد هذه الحادثة تأطير مخاوف قديمة: إضافات بيئة التطوير أصبحت اليوم سطح هجوم من الدرجة الأولى، يُضاهي مديري الحزم أنفسهم. فأي تثبيت تقليدي لـ Visual Studio Code يحمل عشرات الإضافات، كل واحدة منها قادرة على قراءة الشيفرة المصدرية المحلية وسحب متغيرات البيئة وتنفيذ أوامر صدفة عشوائية عند الإقلاع، وعادةً دون أي عزل برمجي.

والحقيقة أن النسخة الملوثة من Nx Console بقيت متاحة لأقل من عشرين دقيقة قبل أن يتم سحبها، ومع ذلك انتشرت بما يكفي لاختراق غيت‌هاب نفسها، توضح بجلاء السرعة التي تتحرك بها هجمات سلسلة الإمداد الحديثة. وقد انتقد بعض الباحثين شركات الكشف مثل Aikido وSnyk لعدم امتلاكها توقيعات للنسخة الخبيثة بعد ساعات من الإفصاح.

الخلفية

مجموعة TeamPCP ليست جهة فاعلة جديدة. فقد ارتبطت سابقاً بحملات سلسلة إمداد عبر PyPI وnpm وGitHub Actions وDocker Hub، وغالباً ما تنطلق من حساب صيانة واحد مخترق إلى المستهلكين في اتجاه المصب. وقد أصبحت منظومة TanStack — وهي مجموعة شعبية من مكتبات واجهات المستخدم غير المرئية وجلب البيانات تستخدمها عشرات الآلاف من مشاريع React وVue — أحدث حلقة في هذا النمط مطلع هذا الشهر.

وبالنسبة لمستخدمي Nx تحديداً، تم نشر نطاق الإصدارات الخبيثة، ودفع فريق Nx بإصدارات نظيفة. أما النصيحة العلاجية لأي مطور قام بتشغيل Nx Console بين الساعة 12:30 و12:48 بالتوقيت العالمي يوم 18 ماي فهي تطبيق الإجراء القياسي لحوادث سلسلة الإمداد: تدوير جميع بيانات اعتماد المطور، ومراجعة نشاط git الأخير، وفحص سجلات الوصول لأي حساب سحابي خلال الفترة المتأثرة.

ما القادم

وعدت غيت‌هاب بتقرير تشريحي أكثر تفصيلاً خلال الأسابيع المقبلة، يشمل أصناف الشيفرة الداخلية التي كانت موجودة في المستودعات المتأثرة. وتشير التقارير إلى أن مايكروسوفت، الشركة الأم لغيت‌هاب، تسرّع العمل على طبقة "إضافات موثّقة" داخل متجر Visual Studio، رغم عدم صدور أي إعلان رسمي حتى الآن.

أما الدرس العملي لفرق التطوير في منطقة الشرق الأوسط وشمال إفريقيا وغيرها فهو فوري: تعاملوا مع إضافات بيئة التطوير باعتبارها اعتماديات إنتاج. ثبّتوا الإصدارات، ودققوا قبل التحديث، وقيّدوا نطاق بيانات الاعتماد، وافترضوا أن أي إضافة غير معزولة قادرة على قراءة أسراركم في اللحظة التي تفتحون فيها محرركم.

المصدر: BleepingComputer — غيت‌هاب تربط اختراق المستودعات بهجوم سلسلة إمداد TanStack على npm