كشف باحثون في مجال الأمن السيبراني عن تقنية تصيد احتيالي متطورة تستهدف المطورين عبر إساءة استخدام نظام الإشعارات الخاص بمنصة GitHub، وذلك لتسليم طلبات تفويض تطبيقات OAuth خبيثة. يمثل هذا الهجوم أداة جديدة ضمن أدوات التصيد الاحتيالي التي تستغل البنية التحتية الموثوقة لمنصات تطوير البرمجيات.
يُعد المطورون من الأهداف الرئيسية للمجرمين السيبرانيين، نظراً لدورهم المحوري في إنشاء وإدارة التعليمات البرمجية التي تشغل التطبيقات وخطوط أنابيب التكامل والنشر المستمر. إن اختراق حساب مطور يمنح المهاجم وصولاً مباشراً إلى الشفرة المصدرية والمستودعات الخاصة وسير العمل الآلي، مما قد يؤدي إلى حقن تعليمات برمجية ضارة في سلاسل توريد البرمجيات على نطاق واسع.
توسع تهديدات التصيد الاحتيالي عبر GitHub
تفيد تقارير بأن هذه الحملة تستغل نظام الإشعارات الموجود في GitHub، والذي يرسل تلقائياً رسائل بريد إلكتروني إلى أي مستخدم يتم ذكره في وصف مشكلة (issue). هذا يعني أن المحتوى الخبيث يصل مباشرة إلى صندوق البريد الإلكتروني للمطور من عنوان GitHub الرسمي، مما يصعب التمييز بينه وبين التنبيهات الأمنية الشرعية.
يُعتبر إعداد هذه الحملة منخفض التكلفة بشكل ملحوظ. فكل ما يحتاجه المهاجم هو حساب GitHub مجاني، وتطبيق OAuth خبيث، وخادم استضافة مجاني. يقوم المهاجم بإنشاء حساب GitHub وهمي يبدو وكأنه خدمة أمنية رسمية، مع اسم عرض مقنع ومستودع ملفات مزيف.
بعد ذلك، يقوم بإنشاء تطبيق OAuth يطلب صلاحيات خطيرة، مثل الوصول الكامل للقراءة والكتابة إلى المستودعات العامة والخاصة، والوصول إلى سير عمل GitHub Actions، وبيانات البريد الإلكتروني والملف الشخصي للمستخدم. عندما ينقر المطور على رابط التصيد الاحتيالي المضمن في البريد الإلكتروني، يتم توجيهه إلى صفحة تفويض GitHub شرعية.
استغلال ثغرة TOCTOU لتعزيز الهجوم
من أبرز جوانب البحث اكتشاف ثغرة “الوقت بين التحقق والاستخدام” (TOCTOU)، وهي حالة تسابق في نظام إشعارات GitHub. يمكن للمهاجم نشر مشكلة تذكر مستخدماً مستهدفاً، مما يؤدي إلى إرسال بريد إلكتروني كإشعار، ثم تعديل أو مسح محتوى المشكلة فوراً خلال ثانيتين إلى ثلاث ثوانٍ.
نظراً لأن GitHub يرسل البريد الإلكتروني بناءً على أحدث نسخة من المشكلة، يتلقى المطور رسالة تصيد احتيالي مصقولة في بريده الوارد، بينما تظهر المشكلة نفسها فارغة أو بعنوان بسيط مثل “خطأ في التحميل” لأي شخص يتحقق من المستودع مباشرة.
هذه الحيلة تجعل من شبه المستحيل تتبع محتوى التصيد الاحتيالي إلى المهاجم لاحقاً، حيث يمكن أيضاً مسح جميع المراجعات. لتجنب الكشف، يقوم المهاجمون بإخفاء رابط التصيد الاحتيالي باستخدام أدوات اختصار الروابط، حيث أن GitHub يضع علامة على عناوين تفويض OAuth المباشرة كروابط مشبوهة.
بالإضافة إلى ذلك، يصمم المهاجمون أسماء الحسابات والمستودعات لتقليد إشعارات GitHub الرسمية، مثل “GH-Security/alert”، لجعل سطر موضوع البريد الإلكتروني موثوقاً به للوهلة الأولى. يتطلب هذا النوع من الهجمات وعياً متزايداً من المطورين والمنظمات لحماية أنفسهم.
لمواجهة هذه التهديدات، يُنصح المطورون والمنظمات بمراجعة الصلاحيات المطلوبة دائماً من أي تطبيق OAuth قبل الموافقة، واستعراض التطبيقات المصرح بها بانتظام في إعدادات حساب GitHub وإلغاء أي تطبيقات تبدو غير مألوفة. يجب أيضاً توخي الحذر الشديد مع رسائل البريد الإلكتروني التي تحث على اتخاذ إجراء فوري أو تدعي وقوع حادث أمني، أو تحتوي على روابط لصفحات تفويض خارجية. من المهم تذكر أن أداة أمنية شرعية لن تطلب أبداً وصولاً كاملاً إلى المستودعات عبر إشعار بريد إلكتروني غير مطلوب.