تزايدت الهجمات على سلسلة التوريد في GitHub بشكل ملحوظ في عام 2025، مما يسلط الضوء على التحديات الأمنية التي تواجه المطورين.
زيادة الهجمات على سلسلة التوريد المستهدفة لعمليات GitHub في عام 2025
شهد العام الماضي العديد من الحوادث الكبيرة في سلسلة توريد البرمجيات التي نفذها فاعلون ضارون استغلوا الثغرات في GitHub، المستودع العالمي الذي يستخدمه مطورو البرمجيات لاستضافة وصيانة الشفرات بشكل تعاوني.
أبرز الهجمات على سلسلة التوريد
تعتبر الهجمات الكبيرة على سلسلة التوريد، مثل Ultralytics وSingularity وShibaud/Shai-Hulud وGitHub Action tj-actions/changed-files، من بين تلك التي قام فيها الفاعلون الضارون باختراق GitHub Actions، وهي القدرة على التكامل المستمر والتسليم المستمر في GitHub التي تتيح للمطورين أتمتة سير العمل في تطوير البرمجيات.
أهمية GitHub في سلسلة التوريد البرمجية
باعتبارها المستودع الأكثر استخدامًا للشفرات، تلعب GitHub دورًا حاسمًا في سلسلة توريد البرمجيات نظرًا لعدد المطورين الكبير الذين يعتمدون عليها لإدارة وتتبع إصدارات الشفرات بشكل تعاوني. هذا يجعلها هدفًا جذابًا للفاعلين الضارين ويتطلب من المستخدمين تحمل المسؤولية عن تأمين شفراتهم.
قال أميت كوهين، محلل استخبارات التهديدات الذي يقود فريق استخبارات الفاعلين في Wiz: “على مدار العام الماضي، كان لدينا العديد من الحالات التي تم استهداف عملائنا فيها، حيث كانت GitHub هي سطح الهجوم”. “لقد لاحظنا أن هذا لم يحصل على القدر الكافي من الاهتمام في الدوائر المعتادة التي تحصل فيها مثل هذه الهجمات على الانتباه، على عكس وجود ثغرة في جهاز شبكة ما.”
استجابة الهجمات
قرر كوهين ورامي مكارثي، الباحث الأمني الرئيسي في Wiz، استخدام مصادر الاستخبارات المتعددة التي تقدمها GitHub للرد على بعض هذه الهجمات؛ حيث شاركوا نتائجهم هذا الأسبوع في مؤتمر بلاك هات أوروبا في لندن.
في هذه الهجمات، قام الفاعلون الضارون باختراق حزم البرمجيات مفتوحة المصدر على GitHub عبر فئة من الثغرات التي تستغل تكوينات GitHub Actions غير الصحيحة، مما يعرض الأسرار للخطر.
التحديات التي تواجه المنظمات
قال مكارثي: “يمكن للمهاجم أن يستولي على الأسرار إذا قمت بتكوينها بشكل خاطئ”. “بمجرد حدوث ذلك، ما رأيناه هو أن المنظمات لا تعرف كيف تتعمق في معرفة من قد يكون المهاجم وما هي الحمولات التي استخدمها المهاجم.”
خلال جلستهم، عرض الباحثان نتائج البحث المكثف الذي أجري على مدار العام الماضي.
كانت الخطوة الأولى التي اتخذوها هي التواصل مع الضحايا، الذين كانوا في الغالب شركات في صناعة التكنولوجيا. ومن المتوقع أنهم جميعًا يعتمدون على البرمجيات مفتوحة المصدر التي يتم صيانتها في مستودعات مثل GitHub.
مسؤولية مشتركة
قال مكارثي: “تستهلك هذه الشركات الكبرى الشفرات مفتوحة المصدر حيث لا توجد علاقة لها بتطويرها”. “ليس لديهم علاقة بأمانها بخلاف مراجعتهم الخاصة.”
هذه قضية مجتمعية تحتاج إلى مزيد من الاهتمام بسبب “أثر المتفرج” الذي تتركه هذه الثغرات، كما أضاف. على سبيل المثال، الهجوم على Coinbase في وقت سابق من هذا العام أثر على ما يقرب من 70,000 من عملائها، نتيجة لاختراق GitHub Action طرف ثالث tj-actions/changed-files (CVE-2025-30066)، مما أتاح الوصول إلى أسرار مثل مفاتيح الوصول الصالحة، رموز الوصول الشخصية لـ GitHub (PATs)، رموز npm والمفاتيح الخاصة RSA، وفقًا لتوجيهات CISA.
قال مكارثي: “كان المهاجم يحاول استهداف Coinbase ومن خلال مسار هجومهم، انتهى بهم الأمر بالتأثير على العديد من الشركات الأخرى”، مشيرًا إلى أنه مثال على كيفية الحاجة إلى الالتزام الأفضل بنموذج المسؤولية المشتركة بين العملاء والمزودين. “الجميع يضع شفراته على GitHub ويسمح له باستخدامها لأسباب متعددة، لكن لا يمكن أن يكون منوطًا بالكامل بـ GitHub تأمين كل استخدام مفتوح المصدر وكل خط أنابيب.”
يفترض القطاع أن GitHub لديها ضوابط أمنية أو تعمل على تطوير دفاعات، لكن “يمكنك أن تتخذ قرارات سيئة على منصة GitHub”، كما أضاف. بينما توفر المنصة بعض ميزات الأمان، لا يُطلب من المستخدمين استخدامها، وهناك ميزات اختيارية تم إهمالها ولم تعد موصى بها، كما أوضح.
المستقبل
قال مكارثي إنه وكوهين خططا لجلسة بلاك هات لمشاركة مستودعات GitHub التي قد تكون مفيدة للاستخبارات والبحث في التهديدات، على الرغم من أنه لا يتوقع أن يتغير الكثير في GitHub نتيجة لهذا الحديث.
قال: “نحن لا نطلب من GitHub تغيير أي شيء من حيث مشهد استخبارات التهديدات أو البيانات التي نراها”. “بالنسبة لنا، يتعلق الأمر حقًا بربط النقاط في مجموعة من الميزات المعروفة إلى حد ما وجعلها مفهومة للباحثين الأمنيين والمدافعين والمجتمع.”
تتطلب هذه التهديدات المتزايدة وعيًا أكبر من المجتمع التقني لضمان أمان البرمجيات المستخدمة.
