GitHub محاصر بملايين المستودعات الضارة في هجوم مستمر

يكافح GitHub لاحتواء الهجوم المستمر الذي يغمر الموقع بملايين مستودعات الأكواد البرمجية. وقال الباحثون إن هذه المستودعات تحتوي على برامج ضارة غامضة تسرق كلمات المرور والعملات المشفرة من أجهزة المطورين.

المستودعات الخبيثة عبارة عن نسخ من المستودعات الشرعية، مما يجعل من الصعب تمييزها بالعين المجردة. قام طرف غير معروف بأتمتة عملية تفرع للمستودعات الشرعية، مما يعني أنه يتم نسخ كود المصدر حتى يتمكن المطورون من استخدامه في مشروع مستقل يعتمد على المشروع الأصلي. والنتيجة هي ملايين الشوكات ذات الأسماء المطابقة للاسم الأصلي والتي تضيف حمولة ملفوفة تحت سبع طبقات من التشويش. ومما زاد الطين بلة أن بعض الناس، غير مدركين لحقد هؤلاء المقلدين، يقومون بشوكة الشوك، مما يزيد من الطوفان.

اجتز الخلد

“تتم إزالة معظم عمليات إعادة الشراء المتشعبة بسرعة بواسطة GitHub، الذي يحدد الأتمتة،” ماتان جيلادي وجيل ديفيد، الباحثان في شركة الأمن Apiiro، كتب الاربعاء. “ومع ذلك، يبدو أن اكتشاف الأتمتة يفتقد العديد من عمليات إعادة الشراء، وتلك التي تم تحميلها يدويًا تظل موجودة. ونظرًا لأن سلسلة الهجوم بأكملها تبدو في الغالب آلية على نطاق واسع، فإن نسبة الـ 1% التي نجت لا تزال تمثل الآلاف من عمليات إعادة الشراء الضارة.

نظرًا للزيادة المستمرة في عمليات إعادة الشراء الجديدة التي يتم تحميلها وإزالة GitHub، فمن الصعب تقدير عدد كل منها بدقة. قال الباحثون إن عدد عمليات إعادة الشراء التي تم تحميلها أو تفرعها قبل أن يقوم GitHub بإزالتها من المحتمل أن يكون بالملايين. قالوا إن الهجوم “يؤثر على أكثر من 100000 مستودع GitHub”.

لم يشكك مسؤولو GitHub في تقديرات Apiiro ولم يجيبوا على الأسئلة الأخرى المرسلة عبر البريد الإلكتروني. وبدلا من ذلك أصدروا البيان التالي:

يستضيف GitHub أكثر من 100 مليون مطور عبر أكثر من 420 مليون مستودع، وهو ملتزم بتوفير منصة آمنة ومأمونة للمطورين. لدينا فرق مخصصة لاكتشاف وتحليل وإزالة المحتوى والحسابات التي تنتهك سياسات الاستخدام المقبول الخاصة بنا. نحن نستخدم المراجعات اليدوية والاكتشافات على نطاق واسع التي تستخدم التعلم الآلي وتتطور باستمرار وتتكيف مع تكتيكات الخصومة. كما نشجع العملاء وأفراد المجتمع على الإبلاغ عن إساءة الاستخدام والبريد العشوائي.

إن هجمات سلسلة التوريد التي تستهدف مستخدمي منصات المطورين موجودة منذ عام 2016 على الأقل، عندما قام طالب جامعي بتحميل نصوص برمجية مخصصة إلى RubyGems وPyPi وNPM. كانت البرامج النصية تحمل أسماء مشابهة للحزم الشرعية المستخدمة على نطاق واسع، ولكن بخلاف ذلك لم يكن لها أي صلة بها. وأظهرت ميزة الهاتف المنزلي في نصوص الطالب أن الكود الدجال تم تنفيذه أكثر من 45000 مرة على أكثر من 17000 نطاق منفصل، وأكثر من نصف الوقت تم منح الكود الخاص به حقوقًا إدارية قوية للغاية. انتهى اثنان من النطاقات المتأثرة بـ .mil، في إشارة إلى أن أشخاصًا داخل الجيش الأمريكي قاموا بتشغيل النص الخاص به. غالبًا ما يُشار إلى هذا النوع من هجوم سلسلة التوريد باسم typosquatting، لأنه يعتمد على قيام المستخدمين بارتكاب أخطاء صغيرة عند اختيار اسم الحزمة التي يريدون استخدامها.

وفي عام 2021، استخدم أحد الباحثين تقنية مماثلة لتنفيذ تعليمات برمجية مزيفة بنجاح على شبكات تابعة لشركة Apple وMicrosoft وTesla وعشرات الشركات الأخرى. بدأت هذه التقنية – المعروفة باسم هجوم ارتباك التبعية أو ارتباك مساحة الاسم – بوضع حزم تعليمات برمجية ضارة في مستودع عام رسمي ومنحها نفس اسم حزم التبعية التي تستخدمها Apple والشركات المستهدفة الأخرى في منتجاتها. تقوم البرامج النصية الآلية داخل مديري الحزم التي تستخدمها الشركات بتنزيل وتثبيت رمز التبعية المزيف تلقائيًا.

تُعرف التقنية التي لاحظها Apiiro باسم ارتباك الريبو.

وأوضح منشور الأربعاء أنه “على غرار هجمات ارتباك التبعية، فإن الجهات الفاعلة الخبيثة تجعل هدفها تنزيل نسختها الضارة بدلاً من النسخة الحقيقية”. “لكن هجمات ارتباك التبعية تستفيد من كيفية عمل مديري الحزم، في حين تعتمد هجمات ارتباك الريبو ببساطة على البشر لاختيار النسخة الضارة عن طريق الخطأ بدلاً من النسخة الحقيقية، وفي بعض الأحيان تستخدم تقنيات الهندسة الاجتماعية أيضًا.”