يستغل مجرمو الإنترنت بشكل متزايد منصات تطوير البرمجيات الشهيرة مثل GitHub و GitLab لإيواء برامج ضارة وحملات تصيد احتيالي تستهدف سرقة بيانات الاعتماد. تستغل هذه الاستراتيجيات الثقة العالية التي تحظى بها هذه المنصات، مما يجعل من الصعب على أدوات الأمان اكتشاف الهجمات.
تُستخدم منصات GitHub و GitLab على نطاق واسع في تطوير البرمجيات الحديثة، حيث يثق بها المطورون لتخزين ومشاركة وإدارة مشاريعهم. وحيث أن هذه المنصات أساسية لسير العمل، فإن معظم أدوات الأمن السيبراني تتجنب حظر نطاقاتها، مما يمنح المهاجمين مسارًا مباشرًا للاختراق.
استغلال GitHub و GitLab لنشر البرمجيات الخبيثة
يقوم المهاجمون بتحميل ملفات خبيثة أو إنشاء صفحات تسجيل دخول مزيفة على المستودعات العامة، مما يولد روابط تبدو المطابقة للروابط الشرعية. هذا التكتيك يسهل تجاوز بوابات البريد الإلكتروني الآمنة دون إثارة الإنذارات.
تشير التقارير إلى أن استغلال مستودعات Git قد ازداد بشكل مطرد منذ عام 2021. وشكلت حملات عام 2025 نسبة 45% من إجمالي حجم الهجمات المسجلة، مما يدل على التوسع السريع لهذا النوع من التهديدات.
كشفت الأبحاث التي أجرتها Cofense Intelligence عن اتجاه متزايد لدى المهاجمين للجمع بين توزيع البرمجيات الخبيثة وسرقة بيانات الاعتماد في حملة واحدة. هذا يمثل تحديًا مزدوجًا لأنظمة الأمان.
من بين الحملات التي خضعت للدراسة، استغلت 95% منها GitHub، بينما استهدفت 5% منها GitLab. وبينما ركز 58% من الحملات على سرقة بيانات الاعتماد، خصص 42% لتوزيع البرمجيات الخبيثة.
الهجمات المزدوجة: البرمجيات الخبيثة والتصيد الاحتيالي
أظهرت إحدى الحالات الموثقة، تحت المعرف ATR 383659، قيام الضحايا بتنزيل ما يبدو أنه قارئ PDF، والذي في الواقع قام بتثبيت برنامج Muck Stealer. وفي الوقت نفسه، فتحت صفحة DocuSign احتيالية لسرقة بيانات اعتماد حساباتهم.
تمتد عواقب هذه الهجمات إلى ما هو أبعد من الأفراد، حيث تواجه المؤسسات مخاطر كبيرة مثل سرقة البيانات، والوصول غير المصرح به للحسابات، واحتمالية اختراق شبكات بأكملها، وكل ذلك قد يبدأ بنقرة واحدة على رابط يبدو موثوقًا من GitHub أو GitLab.
آليات توصيل الحمولة الخبيثة
عند استغلال نطاقات github.com أو githubusercontent.com، يقوم المهاجمون بإيواء البرمجيات الخبيثة مباشرة داخل المستودعات أو إرفاق ملفات ضارة بتعليقات على مشاريع شرعية. غالبًا ما تؤدي روابط التنزيل من GitHub إلى إعادة التوجيه عبر raw.githubusercontent.com لجلب الملف مباشرة، مما يسمح بتنزيل البرمجيات الخبيثة بصمت.
تُستخدم هذه الطريقة الصامتة بشكل شائع لنشر برامج الوصول عن بعد (RATs) مثل Remcos RAT، التي احتلت المرتبة الأولى في البرمجيات الخبيثة الموزعة عبر منصات Git بنسبة 21%، تليها Byakugan بنسبة 9%، و AsyncRAT بنسبة 7%، و DcRAT في المرتبة الرابعة.
لتجاوز فحص برامج مكافحة الفيروسات، يقوم المهاجمون عادةً بتغليف برامجهم الخبيثة داخل ملفات أرشيف مضغوطة (.zip أو .7z) محمية بكلمة مرور. نظرًا لأن كلمة المرور تكون متاحة فقط للمستلم عبر رسالة التصيد، فلا يمكن للأنظمة الآلية فحص المحتويات.
الاستهداف المتقدم
في مثال أكثر تطوراً موثق تحت ATR 404322، استخدم المهاجمون GitLab جنبًا إلى جنب مع اكتشاف معرف وكيل المتصفح لتخصيص الهجوم لكل ضحية. إذا كان الهدف يستخدم جهاز Windows، فقد تم تسليم GoTo RAT؛ وإلا، فقد تم توجيهه إلى صفحة تصيد لسرقة بيانات الاعتماد.
يجب على المستخدمين وفرق الأمن التعامل بحذر مع أي رابط من GitHub أو GitLab يتم تلقيه في بريد إلكتروني غير متوقع، حتى لو بدا النطاق شرعيًا. يُنصح المؤسسات بتطبيق المصادقة متعددة العوامل (MFA) على جميع الحسابات، وتجنب فتح الملفات المضغوطة المحمية بكلمة مرور المرسلة عبر البريد الإلكتروني.
كما يُنصح فرق الأمن بتطبيق تحليل السلوك للبريد الإلكتروني بدلاً من الاعتماد فقط على سمعة النطاق، وإجراء تدريبات محاكاة للتصيد الاحتيالي بانتظام لتعزيز وعي المستخدمين النهائيين.