يبدو أن منصة GitHub تعرضت لهجوم سيبراني كبير آخر، وهذه المرة على يد ما يُعرف بـ حملة Megalodon. تأتي هذه الحملة الخبيثة كتقليد محتمل لأنشطة مجموعة TeamPCP، وتثير مخاوف جدية بشأن أمن سلسلة التوريد البرمجية.
في أواخر الأسبوع الماضي، كشف باحثو الأمن من شركة SafeDep عن اكتشافهم لأكثر من 5500 مستودع GitHub مصابًا ببرمجية خبيثة لسرقة المعلومات (infostealer). تستهدف هذه الأداة بشكل خاص سرقة جميع أنواع الأسرار الحساسة من خطوط أنابيب التكامل المستمر/النشر المستمر (CI/CD) الخاصة بالمطورين الضحايا.
آلية عمل هجوم Megalodon
يوضح تقرير مفصل نشرته SafeDep على مدونتها أن الهجوم يبدأ بالتزام ضار يتم تقديمه إلى المستودعات المستهدفة. ينتحل ممثل التهديد، الذي يُطلق عليه اسم build-bot، شخصية روبوت يقوم بتقديم التزامات برمجية آلية. إذا ما قَبِل المشرفون هذه الالتزامات المحملة ببرامج سرقة المعلومات، فإنها تقوم بالتقاط جميع أنواع الأسرار ثم تنتشر إلى مستودعات أخرى بطريقة شبيهة بالديدان التقليدية.
من بين البيانات التي لوحظ أن Megalodon يستحوذ عليها، مفاتيح AWS السرية، ورموز الوصول السحابي من Google، وبيانات اعتماد أدوار المثيل من AWS وGCP وAzure، ومفاتيح SSH الخاصة، وتكوينات Docker وKubernetes، ورموز Vault المميزة، وبيانات اعتماد Terraform، وغيرها الكثير من المعلومات الحساسة.
المخاطر الممتدة إلى حزم npm
في المرحلة الأولية من هذا الهجوم، يظل المشرفون على GitHub هم الوحيدون المعرضون للخطر بشكل مباشر. ومع ذلك، تتفاقم المخاطر بشكل كبير إذا قام هؤلاء المشرفون بنشر مستودعاتهم المصابة إلى منصة npm، وهو ما يفعله العديد منهم. في هذه الحالة، يصبح المستخدمون النهائيون لحزم npm المعنية معرضين للخطر أيضًا.
قدمت SafeDep تفصيلاً لكيفية حدوث هذا السيناريو مع مشرفي حزمة Tiledesk. حيث تبين أن الإصدارات من 2.18.6 (بتاريخ 19 مايو) إلى 2.18.12 (بتاريخ 21 مايو) كلها كانت تحتوي على باب خلفي (backdoor). المثير للقلق هو أن نفس حساب npm، eljohnny (giovanni@tiledesk.com)، هو من قام بنشر كل من الإصدار النظيف 2.18.5 والإصدارات المخترقة. هذا يشير إلى أن المهاجم لم يمس حساب npm أبدًا، بل قام باختراق مستودع GitHub، ثم قام المشرف بالنشر من المصدر المسموم دون أن يدرك ذلك.
Megalodon: تقليد أم هجوم منفصل؟
على الرغم من أن جهة التهديد المعروفة باسم TeamPCP، التي تستهدف GitHub وnpm، قد أطلقت مؤخرًا مسابقة لهجمات سلسلة التوريد على منتديات الاختراق، إلا أن Megalodon لا يبدو أنه جزء من هذه المنافسة. بل تشير التحليلات إلى أن Megalodon هو كيان تهديد منفصل تمامًا، يبدو أنه استُلهم من أنشطة TeamPCP ليبدأ حملته الخبيثة الخاصة به.
يؤكد هذا الهجوم مجددًا على الأهمية القصوى لتعزيز الإجراءات الأمنية في سلسلة توريد البرمجيات، وضرورة اليقظة المستمرة للمطورين والمشرفين على المستودعات. يتوجب على مجتمع المطورين التحقق الدقيق من الالتزامات الواردة ومراجعة التعليمات البرمجية قبل النشر لضمان عدم تعرضهم ومستخدميهم لمخاطر مماثلة.