GitHub تكشف عن اختراق غير مصرح به لمستودعاتها الداخلية وسط هجوم إلكتروني متصاعد

الكشف في سياق حملة ممتدة تشنها مجموعة التهديد المعروفة بـTeamPCP، التي طورت برمجية خبيثة ذاتية الانتشار أطلقت عليها اسم Shai-Hulud

إعداد EcoPulse24 News Desk نشر: 5/20/2026, 04:21:00 UTC آخر تحديث: 5/20/2026, 09:02:38 UTC

GitHub تكشف عن اختراق غير مصرح به لمستودعاتها الداخلية وسط هجوم إلكتروني متصاعد — GitHub تكشف عن اختراق غير مصرح به لمستودعاتها الداخلية

دبي | EcoPulse24

أعلنت منصة استضافة الأكواد البرمجية غيت‌هاب، المملوكة لشركة مايكروسوفت، في التاسع عشر من مايو 2026، أنها تحقق في عملية وصول غير مصرح به إلى مستودعاتها الداخلية، في حادثة يربطها باحثو الأمن السيبراني بواحدة من أخطر هجمات سلاسل التوريد البرمجية لهذا العام.

أفادت غيت‌هاب في تغريدة على حسابها الرسمي بأنه لا يوجد حتى الآن ما يثبت تضرر بيانات العملاء المخزنة خارج مستودعاتها الداخلية، بما فيها حسابات المؤسسات والمنظمات والمستودعات الفردية. وأكدت الشركة أنها ترصد بنيتها التحتية عن كثب، وستُخطر عملاءها عبر القنوات الرسمية في حال تأكد أي تأثير على البيانات أو الخدمات.

هجوم منسق على سلاسل التوريد البرمجية

جاء الكشف في سياق حملة ممتدة تشنها مجموعة التهديد المعروفة بـTeamPCP، التي طورت برمجية خبيثة ذاتية الانتشار أطلقت عليها اسم Shai-Hulud، مصممة لاختراق بيئات المطورين وسرقة بيانات الاعتماد من أدوات npm وغيت‌هاب وخدمات AWS وأنابيب CI/CD.

في الحادي عشر من مايو الجاري، نفّذت المجموعة هجوماً موسعاً أسفر عن تلويث أكثر من 400 إصدار لحزم برمجية عبر 172 مشروعاً مفتوح المصدر في غضون خمس ساعات فقط، مستغلةً ثغرة في خط إنتاج مشروع TanStack. واللافت في الهجوم أنه أنتج حزماً خبيثة تحمل شهادات تحقق تشفيرية صحيحة - وهي سابقة موثقة لأول مرة - ما جعل الكشف عنها بالوسائل التقليدية أمراً بالغ الصعوبة.

امتد الاختراق لاحقاً ليطال حزماً مرتبطة بشركات Mistral AI وUiPath وOpenSearch وGuardrails AI. كما أعلنت شركة Grafana Labs في السادس عشر من مايو تعرضها للحملة ذاتها، إذ تمكن المهاجمون من الوصول إلى قاعدة الكود الخاصة بها عبر ثغرة في سير عمل GitHub Actions، وطالبوها بفدية رفضت الاستجابة لها.

السياق التقني الأوسع

تزامنت هذه الحوادث مع ثغرة خطيرة اكتُشفت سابقاً في البنية الداخلية لغيت‌هاب، تحمل الرمز CVE-2026-3854، أثبتت أن أي مستخدم يمتلك صلاحيات الرفع يستطيع تنفيذ أوامر اعتسافية على خوادم الشركة من خلال أمر git push واحد. أصدرت غيت‌هاب إصلاحاً في غضون ساعتين من الإبلاغ، وأكدت عدم استغلالها ميدانياً، غير أن 88 بالمئة من نسخ GitHub Enterprise Server لم تُطبّق التحديث بعد وفق بيانات أبريل الماضي.

تحليل EcoPulse24

تكتسب هذه الحادثة أهمية خاصة للمؤسسات في منطقة الخليج العربي لسببين: أولهما أن الحزم المخترقة مدمجة في ملايين سير عمل التطوير، بما فيها تلك المستخدمة في القطاع المالي والبنوك الرقمية. وثانيهما أن تكتيكات المجموعة - القائمة على اختراق أنابيب النشر الموثوقة وتوزيع البرمجيات الخبيثة عبر قنوات رسمية تحمل شهادات تحقق صحيحة - تمثّل تصعيداً هيكلياً في مشهد التهديدات يعجز عن اكتشافه أي نظام تحقق تقليدي. يُنصح المؤسسات الخليجية التي تعتمد على المكتبات مفتوحة المصدر في مشاريع التقنية المالية والحكومية بمراجعة صلاحيات أنابيب CI/CD فوراً، وتدوير بيانات الاعتماد المرتبطة بغيت‌هاب والخدمات السحابية، والتحقق من آخر التحديثات مقابل مؤشرات الاختراق المعلنة.

تحديثات مباشرة

آخر تحديث: 5/20/2026, 04:35:35 UTC

تحديث: غيت‌هاب تؤكد سرقة نحو 3,800 مستودع داخلي عبر إضافة ملوّثة في VS Code على جهاز موظف

5/20/2026, 04:35:35 UTC

دبي، 20 مايو 2026 - إيكوبالس24

أكدت منصة غيت‌هاب أن عملية الوصول غير المصرح به التي كشفت عنها في التاسع عشر من مايو الجاري أسفرت عن سرقة ما يقارب 3,800 مستودع داخلي، وذلك عبر إضافة ملوّثة في محرر الأكواد VS Code مُثبَّتة على جهاز أحد موظفيها. وأوضحت المنصة المملوكة لمايكروسوفت أن مستودعات العملاء وحسابات المؤسسات والبيانات الخارجية لم تتضرر.

في سلسلة تغريدات من خمسة أجزاء نشرتها على حسابها الرسمي في العشرين من مايو، قدمت غيت‌هاب أكثر تفاصيلها دقة حتى الآن بشأن الحادثة. وأفادت الشركة بأنها رصدت الاختراق وأوقفته في التاسع عشر من مايو فور اكتشاف إضافة خبيثة في VS Code استُخدمت للنفاذ إلى جهاز الموظف، وأنها سارعت إلى إزالة الإصدار الملوث وعزل الجهاز والشروع في إجراءات الاستجابة للحادث فوراً.

وأشارت غيت‌هاب إلى أن ادعاءات المهاجم بسرقة نحو 3,800 مستودع "تتسق في اتجاهها" مع ما توصلت إليه التحقيقات حتى الآن، ما يجعل هذه الحادثة من أبرز حالات تسريب البيانات الداخلية التي تُفصح عنها المنصة علناً. وقد عمدت الشركة إلى تدوير بيانات الاعتماد الحساسة بشكل استعجالي، مع إيلاء الأولوية للأسرار الأعلى أثراً، وذلك في ليلة التاسع عشر من مايو.

وفي وقت إعداد هذا التقرير، أفادت غيت‌هاب بأن التحقيق لا يزال جارياً من خلال تحليل السجلات والتحقق من صحة تدوير بيانات الاعتماد ومراقبة أي نشاط لاحق محتمل، مع التعهد بنشر تقرير شامل فور اكتمال التحقيقات.

ناقل الهجوم: سلسلة توريد إضافات VS Code

ناقل الهجوم المؤكد - إضافة ملوّثة في VS Code - يتوافق مع أساليب مجموعة TeamPCP التي تشغّل حملة برمجية Shai-Hulud عبر بيئات المطورين منذ سبتمبر 2025 على الأقل. ووثّق باحثون في شركات Wiz وDatadog Security Labs وOX Security توظيف المجموعة لإضافات VS Code المخترقة أداةً للاستمرارية وحصد بيانات الاعتماد، جنباً إلى جنب مع حزم npm الملوّثة وسير عمل GitHub Actions المخترقة.

في التاسع عشر من مايو، وقبل ساعات من كشف غيت‌هاب عن الحادثة، نشرت Wiz بحثاً يوثّق عودة حملة TeamPCP باستهداف حزم في نطاق @antv ومسارات GitHub Actions وإضافة VS Code بعينها هي nrwl.angular-console بالإصدار 18.95.0. غير أن غيت‌هاب لم تُسنِد الاختراق رسمياً إلى TeamPCP حتى الآن، ولن تُقدم إيكوبالس24 على تلك النسبة ريثما تفعل غيت‌هاب ذلك في تقريرها المرتقب.

ما هو مؤكد: ارتبطت حملة Shai-Hulud حتى الآن باختراقات موثّقة في شركات Grafana Labs وCheckmarx وOpenAI، فضلاً عن اختراق سلسلة توريد TanStack الذي طال حزماً تُحمَّل مئات الملايين من المرات أسبوعياً. وفي كل الحالات، يعتمد المهاجم على اختراق رموز GitHub وبيانات اعتماد السحابة وأسرار CI/CD من بيئات المطورين قبل التحرك أفقياً عبر البنية التحتية للضحية.

الدلالة بالنسبة للمؤسسات

تخدم غيت‌هاب أكثر من 150 مليون مطور حول العالم. المستودعات المسرَّبة هي مستودعات داخلية تخص غيت‌هاب ذاتها، لا بيانات العملاء، بيد أن المستودعات الداخلية تحتوي في الغالب على بيانات إعداد وأسرار داخلية ونصوص نشر ومراجع للبنية التحتية الإنتاجية - وهو ما قد يُستغل في هجمات لاحقة. ويعكس إقدام غيت‌هاب على تدوير بيانات الاعتماد بصفة استعجالية أثناء الليل تقدير الشركة لحجم هذا الخطر تحديداً.

تحليل إيكوبالس24

على المؤسسات الخليجية والمؤسسات المالية التي تعتمد على بنية تحتية للتطوير مستضافة على غيت‌هاب اتخاذ ثلاثة إجراءات فورية: مراجعة جميع إضافات VS Code المثبتة على أجهزة المطورين للكشف عن أي تلاعب أو إصدارات مشبوهة؛ وتدوير رموز GitHub وبيانات اعتماد السحابة عبر جميع مسارات CI/CD المرتبطة بالمستودعات؛ والاطلاع على سجلات GitHub Actions بحثاً عن أي وصول غير مصرح به منذ مطلع مايو الجاري. تُجسّد هذه الحادثة - جهاز موظف واحد مخترق عبر إضافة برمجية يفضي إلى تسريب آلاف المستودعات الداخلية - حقيقة أن أمن النقطة الطرفية في بيئات المطورين بات خطراً من الدرجة الأولى، لا مسألة هامشية.

تواصل إيكوبالس24 متابعة هذا الملف وستنشر تحليلاً موسعاً فور صدور التقرير الكامل من غيت‌هاب.

المصادر والمراجع

GitHub X post , 19-05-2026

ملاحظة تحريرية

تحرير ومراجعة فريق تحرير EcoPulse24 5/20/2026, 09:02:38 UTC

تنبيه مهم

المحتوى الذي تقدمه EcoPulse24 مخصص للأغراض الإعلامية والتعليمية فقط ولا يشكّل نصيحة مالية أو استثمارية أو قانونية أو ضريبية أو أي نوع آخر من الاستشارات المهنية. تعكس جميع الآراء المطروحة وجهة نظر فريق التحرير في EcoPulse24 ولا تمثل آراء أي مزودي بيانات أو مؤسسات خارجية. تنطوي الاستثمارات على مخاطر، بما في ذلك احتمال خسارة رأس المال. الأداء السابق لا يضمن النتائج المستقبلية. ينبغي على القراء إجراء العناية الواجبة الخاصة بهم واستشارة مستشارين مهنيين مؤهلين قبل اتخاذ أي قرارات استثمارية. لا تتحمل EcoPulse24 أو شركاتها التابعة أو محرروها أو المساهمون فيها أي مسؤولية عن الأخطاء أو الإغفالات أو أي خسائر أو أضرار قد تنشأ عن استخدام هذه المعلومات.
يرجى الاطلاع على الشروط والأحكام.
© 2025 EcoPulse24. جميع الحقوق محفوظة.