يحذر باحثو الأمن من أن هجومًا ضخمًا على سلسلة التوريد يُطلق عليه اسم "Megalodon" قد أدى إلى حقن برامج ضارة في أكثر من 5500 مستودع GitHub من خلال الالتزامات الآلية. أساء الهجوم استخدام سير عمل GitHub Actions لزرع حمولات خفية في بيئة التكامل المستمر، مستهدفًا المعلومات الحساسة مثل بيانات الاعتماد وأسرار CI والمفاتيح والرموز المميزة.

وفقًا لتقرير صادر عن شركة الأمن SafeDep، اعتمدت عملية Meg على سير عمل GitHub Actions الخبيث الذي تم حقنه دفعة واحدة في المستودعات المستهدفة مع التزامات آلية مزيفة، مما أدى إلى إنشاء موجة مركزة من الهجمات في ست ساعات فقط. وقالت SafeDep إن المهاجمين دفعوا أكثر من 5700 التزام ضار إلى المستودعات المتأثرة خلال نافذة مدتها ست ساعات في 18 مايو، مما أثر في النهاية على 5561 مستودعًا مستقلاً.

تم استخدام حمولتين مختلفتين على الأقل في الهجوم. سيضيف أحدهم سير عمل جديدًا في المستودع بحيث يتم تشغيله تلقائيًا في كل مرة يتم فيها تقديم طلب دفع أو سحب، وبالتالي الاستمرار في تنفيذ تعليمات برمجية ضارة أثناء عملية التطوير والبناء. أما الآخر فيحل محل ظروف التشغيل لسير العمل الحالي ويحوله إلى "باب خلفي للنوم"، والذي يحتفظ بقناة تنبيه عن بعد للمهاجمين دون التأثير على العملية اليومية.

بمجرد إصابة البيئة المستهدفة، سيحاول سير العمل الضار سرقة متغيرات بيئة CI، وبيانات اعتماد AWS، ورموز وصول GCP، وبيانات اعتماد Azure، ومفاتيح SSH الخاصة، وتكوينات Docker وKubernetes، ومفاتيح API المختلفة، وسلاسل اتصال قاعدة البيانات، بالإضافة إلى العشرات من الأنواع المختلفة من المعلومات الحساسة مثل رموز GitHub Actions ورموز GitLab CI/CD. بمجرد تسرب هذه المعلومات، يمكن استخدامها لاختراق البنية التحتية السحابية وقواعد التعليمات البرمجية وبيئات الإنتاج بشكل أكبر.

وفقًا لـ SafeDep، تم اكتشاف "Megalodon" أثناء تحليل منصة Tiledesk للدردشة مفتوحة المصدر ومنصة chatbot. لاحظ الباحثون أن المشروع أطلق على التوالي إصدارات ضارة من حزم NPM في الفترة ما بين 19 و21 مايو، مما كشف عن عملية اقتحام واسعة النطاق للمستودعات تقف وراءها. يُسمى حساب NPM المرتبط بالهجوم باسم eljohnny، وعنوان البريد الإلكتروني للحساب هو [email protected]. لقد أصدرت نسخة نظيفة 2.18.5 ونسخة ملوثة.

وأشار SafeDep إلى أن المهاجم لم يتحكم بشكل مباشر في حساب NPM نفسه، ولكنه بدأ باختراق مستودع GitHub المقابل له. بعد "تسميم" الكود المصدري، أطلق المشرف دون قصد حزمًا ضارة من الكود المصاب، مما سلط الضوء أيضًا على الخطر النموذجي المتمثل في "التلاعب بالمصدر الأولي بصمت" في هجمات سلسلة التوريد.

عند تتبع مصدر الهجوم، وجدت SafeDep أن الإرسال الخبيث الذي أدى إلى إطلاق سلسلة العدوى حدث أيضًا في 18 مايو، وتم التعرف على مؤلف الإرسال على أنه "build-bot". وبعد تتبع صندوق البريد ذي الصلة، وجد الباحثون أنه تم تقديم إجمالي 2878 إرسالًا من خلال صندوق البريد هذا في ذلك اليوم، وتم تقديم 2841 إرسالًا آخر من خلال صندوق بريد آخر ذي صلة. تم الانتهاء من إجمالي 5718 عملية إرسال ضارة في نفس اليوم.

من الناحية التقنية، اختار المهاجم نوع سير العمل "workflow_dispatch" في إجراءات GitHub لتشغيل الباب الخلفي. يمكن استدعاء طريقة التشغيل هذه من خلال واجهة برمجة تطبيقات GitHub، ويمكن استخدام رمز GitHub المسروق لتنشيط الباب الخلفي الخامل عن بعد في أي وقت لاحق. والأهم من ذلك، أن هذا النوع من المشغلات مُستثنى من "قواعد مكافحة التكرار" الخاصة بـ GitHub ولا يتم تقييده عن طريق منع "الأحداث التي يتم تشغيلها بواسطة الرموز المميزة من إنشاء مسارات عمل جديدة مرة أخرى"، مما يوفر للمهاجمين مساحة أكبر للتشغيل.

وبينما تم الكشف عن حادثة "الميجالودون"، كان مستوى النظام البيئي يحاول أيضًا التعامل مع تهديدات مماثلة. أعلنت NPM مؤخرًا أنها أبطلت جميع رموز الوصول الدقيقة التي تتجاوز المصادقة الثنائية ولديها أذونات كتابة لمنع هجمات سلسلة التوريد المشابهة لـ "Mini Shai‑Hulud". تعتقد شركة الأمن Ox Security أن هذا الإجراء يساعد في تقليل مخاطر سرقة الحساب، ولكنه لا يزيل المخاطر الأساسية حقًا.

تحذر Ox Security من أنه طالما تسمح الأنظمة الأساسية بتحميل التعليمات البرمجية التعسفية وتوزيعها دون مراجعة صارمة، فإن التعليمات البرمجية الضارة المنتشرة عبر المستودعات المخترقة ستستمر في الظهور. وأشارت الشركة إلى أن هجمات سلسلة التوريد تدخل حقبة جديدة. كان هجوم TeamPCP السابق على GitHub مجرد البداية. في المستقبل، ستتبع موجات من الهجمات التي تستهدف مجتمع المطورين مثل "تسونامي".

بالإضافة إلى هذه الحادثة، ظهرت أيضًا حالات حديثة أخرى حول أمن سلسلة التوريد، بما في ذلك استخدام هجمات TanStack لسرقة كود وبيانات Grafana، وعمليات التسمم المتعددة واسعة النطاق التي تستهدف حزم NPM. توضح هذه الحوادث المتتالية أن نقاط الضعف في سلسلة توريد البرامج ونقص الرؤية تظل من المشكلات البارزة التي تواجه الصناعة بأكملها.