أصدر فريق TeamPCP، وهو فريق قرصنة مخصص لهجمات سلسلة التوريد، مؤخرًا إعلانًا تجاريًا يدعي بيع كود المصدر الأساسي ومعلومات الهيكل التنظيمي الداخلي لمنصة استضافة التعليمات البرمجية GitHub. ادعت مجموعة المتسللين أن الصفقة لم تكن ابتزازًا بل بيعًا مباشرًا حصريًا. وبطبيعة الحال، حتى لو كان الأمر يتعلق بابتزاز GitHub، فمن غير المرجح أن يدفع فدية للمتسللين مقابل سرية البيانات.

تجدر الإشارة إلى أن TeamPCP لم يقدم أي بيانات نموذجية، بل أظهر فقط الدليل الذي يحتوي على مستودع التعليمات البرمجية المصدر ولقطات الشاشة ذات الصلة. ولا يسعنا إلا أن نقول إن المتسللين الأكفاء لا يكلفون أنفسهم عناء تقديم عينات، لأن مسؤولي GitHub أكدوا الآن أنهم تعرضوا بالفعل للهجوم. وبعد التحقيق الأولي، تم التأكد من سرقة ما يقرب من 3800 مستودع داخلي من قبل المتسللين.

مستودع كود المصدر يتضمن وظائف أساسية متعددة:

انطلاقًا من الدلائل ولقطات الشاشة التي نشرها المتسللون، تتضمن البيانات التي سرقها المتسللون مستودعات التعليمات البرمجية المصدر لوظائف أساسية متعددة لـ GitHub، بما في ذلك GitHub Copilot وGitHub Enterprise Server وRed Team، بالإضافة إلى إدارة الثغرات الأمنية والإبلاغ عن المخاطر ومستودعات تصحيح التخفيف لهجمات البرمجة النصية عبر المواقع في واجهات المستخدم الرسومية. بالإضافة إلى ذلك، تمت أيضًا سرقة مستودعات مثل القنوات المنطقية لعمليات GitHub والاتصالات الداخلية.

جزء من اسم الحزمة المضغوطة:

  • raycast-github-copilot.tar.gz

  • chiedo-مساعد الطيار-cli-skills.tar.gz

  • github-enterprise-server-release-notifier.tar.gz

  • github-security-risk-reporting.tar.gz

  • red-team.tar.gz

  • github-ui-xss-hardening-research.tar.gz

  • github-india.tar.gz

  • repo-custom-claims-chatops.tar.gz

يؤكد GitHub خرق البيانات بعد التحقيق:

أكد GitHub تسرب البيانات بعد التحقيق الأولي. كان مصدر الهجوم عبارة عن ملحق Visual Studio Code يحتوي على تعليمات برمجية ضارة تم تثبيتها بواسطة أحد موظفي GitHub. من المحتمل أن يكون هذا الامتداد ضحية لفيروس TeamPCP، أي أن مطور الامتداد تعرض للهجوم أيضًا. ثم استخدم المتسلل بيانات الاعتماد المسروقة لنشر نسخة تحتوي على تعليمات برمجية ضارة. عندما يقوم المزيد من المطورين بتثبيت الإصدار الضار من الامتداد، سيتم أيضًا سرقة بيانات الاعتماد الخاصة بهم.

بعد اكتشاف التهديد، قام GitHub على الفور بإزالة الإصدار الضار من الامتداد وعزل جهاز الموظف. وكإجراء طارئ، قام GitHub أيضًا بتدوير جميع بيانات الاعتماد الرئيسية التي قد تتأثر على الفور. ومع ذلك، وبالنظر إلى التهديد المحتمل للدودة، يحتاج GitHub أيضًا إلى الاستمرار في تحليل السجلات ومراقبة الأنشطة اللاحقة لمنع الدودة من إصابة الأنظمة الأخرى وسرقة المزيد من بيانات الاعتماد.

وأخيرًا، أكد GitHub أن ما يقرب من 3800 مستودعًا داخليًا لرموز المصدر قد تمت سرقته. ستصدر GitHub لاحقًا تقريرًا مفصلاً عن التحقيق الأمني ​​لمشاركة تجربتها.