أكدت شركة GitHub رسمياً اختراق مستودعاتها الداخلية، والذي نتج عن الاستيلاء على جهاز أحد الموظفين واستخدام نسخة معدلة من إضافة Nx Console لـ Microsoft Visual Studio Code (VS Code). ويأتي هذا التطور في الوقت الذي كشفت فيه فريق Nx عن اختراق الإضافة nrwl.angular-console.
يُعزى هذا الاختراق إلى مجموعة قرصنة عرفت باسم TeamPCP، والتي استهدفت استغلال ضعف في سلسلة التوريد البرمجية. وقد أثرت هذه الهجمات على أدوات تطوير شائعة، مما يثير قلقاً متزايداً بشأن أمان البيئات البرمجية.
اختراق GitHub: تفاصيل الهجوم وتداعياته
أفادت GitHub أن الهجوم المباشر استهدف نسخة من إضافة Nx Console تم اختراقها، مما سمح للمهاجمين بالوصول إلى مستودعات داخلية. ومع ذلك، أكدت الشركة عدم وجود أي دليل على تأثير يطال معلومات العملاء المخزنة خارج هذه المستودعات الداخلية.
أشارت Alexis Wales، المديرة العليا لأمن المعلومات في GitHub، في تصريح لها، إلى أن بعض المستودعات الداخلية قد تحتوي على معلومات من العملاء، مثل مقتطفات من تفاعلات الدعم. وفي حال اكتشاف أي تأثير، سيتم إخطار العملاء عبر قنوات الاستجابة للحوادث.
من جهة أخرى، كشف فريق Nx أن الإضافة nrwl.angular-console تعرضت للاختراق بعد اختراق جهاز أحد المطورين، وذلك في أعقاب الهجوم الأخير على سلسلة التوريد الذي استهدف TanStack، والذي أثر أيضاً على شركات مثل OpenAI و Mistral AI و Grafana Labs.
تشير التقارير إلى أن الهجوم قد أتاح للمهاجمين سرقة ما يقرب من 3,800 مستودع. وقد اتخذت GitHub خطوات لاحتواء الحادث وتدوير الأسرار الحيوية، وتواصل مراقبة الوضع بحثاً عن أي نشاط لاحق.
وفقاً لما ذكره Jeff Cross، أحد مؤسسي Narwhal Technologies (الشركة المطورة لـ nx.dev)، فإن هذا الحادث يسلط الضوء على الحاجة إلى تغييرات جوهرية وأعمق في كيفية تأمين أدوات المطورين والتوزيع مفتوح المصدر. وأضاف أن النظام البيئي البرمجي برمته بحاجة لإعادة تقييم افتراضاته.
آلية الهجوم وتأثيره على سوق أدوات المطورين
ما يلفت الانتباه هو أن النسخة الخبيثة من إضافة VS Code كانت متاحة على Visual Studio Marketplace لمدة ثمانية عشر دقيقة فقط، بين الساعة 12:30 و 12:48 ظهراً بتوقيت UTC في 18 مايو 2026. ومع ذلك، كانت هذه الفترة القصيرة كافية للمهاجمين لتوزيع أداة لسرقة بيانات الاعتماد.
كانت هذه الأداة قادرة على جمع بيانات حساسة من محافظ 1Password، وإعدادات Anthropic Claude Code، وحسابات npm، و GitHub، و Amazon Web Services (AWS). وقال الباحث الأمني Nir Zadok إن الخادم المخترق بدا طبيعياً، ولكنه قام بتشغيل أمر سري قام بتنزيل وتنفيذ حزمة مخفية.
سمحت الطبيعة المترابطة للبرمجيات الحديثة لمجموعة TeamPCP بتوليد دورة مستمرة من الاختراقات الجديدة. حيث يتم اختراق أداة موثوقة، وسرقة بيانات الاعتماد من أنظمة المطورين التي تستخدمها، ومن ثم استخدام هذه البيانات لاختراق الأداة الشرعية التالية.
يشير الباحثون إلى أن ميزة التحديث التلقائي في معظم أسواق الإضافات، مثل VS Code، تشكل نقطة ضعف. فبينما تهدف إلى ضمان تحديث المستخدمين، فإنها توفر للمهاجم الذي ينجح في اختراق ناشر فرصة لإيصال تحديث خبيث مباشرة إلى أجهزة المستخدمين دون رقابة فورية.