أعلنت GitHub في 20 مايو على منصة X عن تحديثات حول التحقيق في حادث أمني، مؤكدةً أن أحد الموظفين تم اختراق جهازه عبر إضافة VS Code ضارة تم إدخالها، ما أدى إلى سرقة نحو 3,800 مستودع داخلي. وذكرت GitHub عدم وجود أدلة على تأثر معلومات العملاء المخزنة خارج مستودعات التعليمات البرمجية الداخلية لدى GitHub. كما أزالت GitHub الإضافة الضارة، وعزلت الأجهزة الطرفية المتأثرة، وأجرت تدويرًا للاعتمادات (التوكنات) الحساسة.
تفاصيل حادث أمني أكدت GitHub
وفقًا لتأكيد منشور GitHub الرسمي على X:
نطاق التأثر: نحو 3,800 مستودع داخلي لدى GitHub (الجهة المهاجمة تزعم أن العدد متقارب بشكل كبير مع نتائج تحقيق GitHub)
السبب الجذري: اختراق جهاز الموظف
مسار الهجوم: إضافة VS Code تم حقنها برموز خبيثة (هجوم سلسلة توريد للمطورين)
أثر العملاء: أكدت GitHub أن تسرب البيانات «محصور بدقة في البيانات داخل مستودعات التعليمات البرمجية الداخلية لدى GitHub»، ولم تُعثر على أدلة على حدوث أي تأثير على بيانات العملاء أو الشركات أو المؤسسات أو المستودعات
تأكيد وضع الجهات المهدِّدة
وفقًا لما كشفته Dark Web Informer (جهة استخبارات عن التهديدات): نشرت جهة التهديد الملقبة TeamPCP معلومات عن منتجات تتعلق ببيع مصادر GitHub الداخلية وبيانات المؤسسات في شبكة الويب المظلمة قبل إعلان GitHub. كما أكدت تقارير H2S Media أن المنظمة التي تقف خلف برنامج ضار دودة Shai-Hulud هي نفسها التي تقف خلف TeamPCP، وهو ما أدى مؤخرًا إلى انتشار واسع لهذا البرمجيات الخبيثة ضمن مكتبات مفتوحة المصدر.
التدابير التصحيحية التي تم اتخاذها
وفقًا لتأكيد بيان GitHub الرسمي:
اكتمل: إزالة إضافة VS Code الضارة، وعزل الأجهزة الطرفية المتأثرة، وإعطاء أولوية لتدوير أكثر الاعتمادات الحساسة تأثيرًا (تم ذلك في يوم اكتشاف الحادث وخلال تلك الليلة)
جارٍ التنفيذ: تحليل السجلات، والتحقق من حالة تدوير الاعتمادات، ومراقبة الأنشطة اللاحقة، وإجراء تحقيق شامل ضمن الاستجابة للحادث
مخطط له: إصدار تقرير كامل بعد انتهاء التحقيق؛ وإذا تبيّن وجود تأثير أوسع، فسيتم إخطار العملاء عبر قنوات الاستجابة الحالية للحادث
خلفية تأكيد حوادث أمنية حديثة لدى GitHub
وفقًا لخط زمني حديث تؤكده تقارير H2S Media:
قبل 3 أسابيع: كشف باحثون من Wiz عن CVE-2026-3854، وهي ثغرة خطيرة في تنفيذ أوامر عن بُعد (RCE) تسمح لأي مستخدم مُوثّق بتنفيذ أوامر تعسفية على خوادم GitHub الخلفية عبر أمر git push واحد
الأسبوع الماضي: تم اختراق مستودع GitHub الخاص بـ SailPoint بسبب ثغرة في تطبيق تابع لجهة خارجية
17 مايو 2026: أكدت Grafana Labs تسريب رموز GitHub (Token)، وحصلت جهة التهديد على صلاحيات وصول إلى المستودعات وحاولت الابتزاز
الأسئلة الشائعة
هل أثّر هذا الاختراق على مستودعات GitHub العامة أو مستودعات المستخدمين؟
وفقًا لبيان GitHub الرسمي، فإن تسرب البيانات «مقيّد بدقة» ضمن مستودعات GitHub الداخلية فقط، ولا توجد حتى الآن أدلة على تأثر بيانات العملاء أو الشركات أو المؤسسات أو المستودعات. لم تتأثر الأنظمة الموجهة للعملاء.
ما نقطة الدخول لهذه الهجمة، وكيف يمكن الوقاية؟
وفقًا لما أكدته GitHub، يتمثل مسار الهجوم في إضافة VS Code تم حقنها برموز خبيثة، وهو ما يندرج ضمن هجمات سلسلة توريد للمطورين. اقترح مؤسس Binance CZ: «يجب تدقيق مفاتيح API الموجودة في المستودعات الخاصة واستبدالها فورًا».
متى ستصدر GitHub تقرير الحادث الأمني الكامل؟
وفقًا لبيان GitHub الرسمي، سيتم إصدار التقرير الكامل بعد انتهاء التحقيق، لكن لم يتم الإعلان عن موعد محدد حتى الآن.
