كان ما يسمى بهجوم سلسلة توريد البرمجيات، والذي يقوم فيه المتسللون بإفساد جزء مشروع من البرنامج لإخفاء الكود الخبيث الخاص بهم، حدثًا نادرًا نسبيًا ولكنه حدث يطارد عالم الأمن السيبراني بتهديده الخبيث بتحويل أي تطبيق بريء إلى موطئ قدم خطير في شبكة الضحية. الآن قامت مجموعة من مجرمي الإنترنت بتحويل هذا الكابوس العرضي إلى حلقة شبه أسبوعية، وإفساد مئات الأدوات مفتوحة المصدر، وابتزاز الضحايا من أجل الربح، وزرع مستوى جديد من عدم الثقة في النظام البيئي بأكمله المستخدم لإنشاء برامج العالم.
ليلة الثلاثاء، أعلنت منصة التعليمات البرمجية مفتوحة المصدر GitHub أنها تعرضت للاختراق من قبل قراصنة في أحد هذه الهجمات على سلسلة توريد البرامج: قام أحد مطوري GitHub بتثبيت ملحق “مسموم” لـ VSCode، وهو مكون إضافي لمحرر أكواد شائع الاستخدام، مثل GitHub نفسه، مملوك لشركة Microsoft. ونتيجة لذلك، يدعي المتسللون الذين يقفون وراء الاختراق، وهم مجموعة سيئة السمعة بشكل متزايد تسمى TeamPCP، أنهم تمكنوا من الوصول إلى حوالي 4000 من مستودعات أكواد GitHub. أكد بيان GitHub أنه عثر على ما لا يقل عن 3800 مستودع مخترق، مع الإشارة إلى أنه بناءً على النتائج التي توصل إليها حتى الآن، فإن جميعها تحتوي على كود GitHub الخاص، وليس كود العملاء.
كتب TeamPCP على BreachForums، وهو منتدى وسوق لمجرمي الإنترنت: “نحن هنا اليوم للإعلان عن الكود المصدري لـ GitHub والمؤسسات الداخلية المعروضة للبيع”. “كل شيء خاص بالمنصة الرئيسية موجود ويسعدني جدًا إرسال عينات إلى المشترين المهتمين للتحقق من صحتها المطلقة.”
يعد اختراق GitHub مجرد أحدث حادث فيما أصبح أطول موجة من الهجمات على سلسلة توريد البرامج على الإطلاق، دون نهاية في الأفق. وفقًا لشركة الأمن السيبراني “Socket”، التي تركز على سلاسل توريد البرمجيات، نفذ فريق TeamPCP، في الأشهر القليلة الماضية فقط، 20 “موجة” من الهجمات على سلسلة التوريد التي أخفت برامج ضارة في أكثر من 500 قطعة مختلفة من البرامج، أو أكثر من ألف بحساب جميع الإصدارات المختلفة من التعليمات البرمجية التي اختطفتها TeamPCP.
هذه الأجزاء الملوثة من التعليمات البرمجية سمحت لقراصنة TeamPCP باختراق مئات الشركات التي قامت بتثبيت البرنامج، كما يقول بن ريد، الذي يقود استخبارات التهديدات الاستراتيجية في شركة Wiz للأمن السحابي. إن GitHub هو الأحدث في قائمة الضحايا الطويلة للمجموعة، والتي تضمنت أيضًا شركة OpenAI للذكاء الاصطناعي وشركة Mercor للتعاقد على البيانات. يقول ريد عن اختراق GitHub: “قد يكون هذا أكبر اختراق لهم”. “لكن كل واحدة من هذه الانتهاكات تمثل مشكلة كبيرة للشركة التي تحدث لها. وهي لا تختلف نوعياً عن الانتهاكات الـ 14 التي حدثت الأسبوع الماضي”.
أصبح التكتيك الأساسي لـ TeamPCP نوعًا من الاستغلال الدوري لمطوري البرامج: حيث يتمكن المتسللون من الوصول إلى شبكة يتم فيها تطوير أداة مفتوحة المصدر يشيع استخدامها من قبل المبرمجين – على سبيل المثال، امتداد VSCode الذي أدى إلى خرق GitHub أو برنامج تصور البيانات AntV الذي اختطفه TeamPCP في وقت سابق من هذا الأسبوع. يقوم المتسللون بزرع برامج ضارة في الأداة التي تنتهي في أجهزة مطوري البرامج الآخرين، بما في ذلك بعض الذين يكتبون أدوات أخرى مخصصة للاستخدام من قبل المبرمجين.
تسمح البرامج الضارة لمتسللي TeamPCP بسرقة بيانات الاعتماد التي تتيح لهم نشر إصدارات ضارة من أولئك أدوات تطوير البرمجيات أيضًا. تتكرر الدورة، وتنمو مجموعة الشبكات المخترقة لدى TeamPCP. يقول ريد: “إنها دولاب الموازنة للتنازلات في سلسلة التوريد”. “إنها عملية ذاتية الاستدامة، وكانت طريقة ناجحة للغاية للوصول إلى الشبكات وسرقة الأشياء.”
وفي الآونة الأخيرة، يبدو أن المجموعة قامت بأتمتة العديد من هجمات سلسلة توريد البرامج الخاصة بها باستخدام دودة ذاتية الانتشار أصبحت تُعرف باسم Mini Shai-Hulud. يأتي الاسم من مستودعات GitHub التي أنشأتها الدودة والتي تتضمن بيانات اعتماد مشفرة مسروقة من الضحايا، والتي تتضمن كل منها عبارة “ظهر شاي خلود صغير” بالإضافة إلى عدد قليل من الإشارات الأخرى إلى رواية الخيال العلمي. الكثبان الرملية. ويبدو أن هذه الرسالة بدورها تشير إلى ليس فقط الكثبان الرمليةولكن مع دودة مماثلة لسلسلة التوريد تُعرف باسم Shai-Hulud والتي ظهرت في سبتمبر، على الرغم من عدم وجود دليل على أن TeamPCP كان وراء تلك البرامج الضارة السابقة التي كانت تنشر نفسها بنفسها.
