GitHub تؤكد اختراق 3,800 مستودع عبر إضافة VS Code ملغومة

تتعامل GitHub مع اختراق أمني داخلي خطير. أكدت الشركة في 20 مايو 2026 أن قراصنة اخترقوا جهاز أحد الموظفين باستخدام إضافة VS Code ملغومة. وقد حصلوا على وصول غير مصرح به إلى حوالي 3,800 مستودع داخلي.

1/ We are sharing additional details regarding our investigation into unauthorized access to GitHub's internal repositories.

Yesterday we detected and contained a compromise of an employee device involving a poisoned VS Code extension. We removed the malicious extension version,…

— GitHub (@github) May 20, 2026

تصرفت GitHub بسرعة، حيث عزلت الجهاز، وأزالت الإضافة الضارة، وقامت بتدوير بيانات الاعتماد الحساسة خلال ساعات من الاكتشاف. ومن المهم أن تشير الشركة إلى أنه لا يوجد حالياً أي دليل على تأثير على بيانات العملاء أو حسابات المؤسسات أو مستودعات المستخدمين. تعتبر أخبار GitHub اليوم بمثابة جرس إنذار لكل مطور لديه مفاتيح API مخزنة في مستودعات خاصة.

كيف حدث الهجوم

كانت وسيلة الهجوم بسيطة بشكل خادع. قام أحد المهاجمين بإدخال برمجيات خبيثة داخل إضافة VS Code. قام موظف في GitHub بتثبيت النسخة الملغومة. ومن هناك، حصل المهاجم على وصول إلى جهاز الموظف وبدأ في استخراج البيانات من المستودعات الداخلية.

أكدت GitHub الجدول الزمني مباشرة في سلسلة عامة. “لقد اكتشفنا وعزلنا اختراق جهاز أحد الموظفين الذي يتضمن إضافة VS Code ملغومة،” قالت الشركة. “لقد أزلنا النسخة الضارة من الإضافة، وعزلنا النقطة النهائية، وبدأنا الاستجابة للحادث على الفور.”

وقد أعلنت مجموعة التهديد TeamPCP مسؤوليتها منذ ذلك الحين في منتديات الجريمة الإلكترونية. تدعي المجموعة أنها حصلت على بيانات من حوالي 4,000 مستودع خاص. وتشمل كود المصدر الخاص بالمنصة وملفات المنظمة الداخلية، وتقوم حالياً بمحاولة بيع مجموعة البيانات مقابل أكثر من 50,000 دولار. وقد قدرت GitHub أن ادعاء المهاجم بوجود حوالي 3,800 مستودع هو “متسق اتجاهياً” مع نتائج تحقيقها حتى الآن.

استجابة GitHub

تحركت استجابة الاختراق الأمني على عدة جبهات في وقت واحد. قامت GitHub بتدوير الأسرار الحساسة في نفس يوم الاكتشاف، مع إعطاء الأولوية لأعلى بيانات الاعتماد تأثيراً أولاً. عزل فريق الأمن النقطة النهائية المتأثرة على الفور. يقوم المحللون بفحص السجلات باستمرار لأي نشاط لاحق. بالإضافة إلى ذلك، تمت إزالة النسخة الضارة من إضافة VS Code من السوق. التزمت GitHub بنشر تقرير أكثر شمولاً بمجرد اكتمال التحقيق. وتعهدت بإخطار العملاء من خلال قنوات الاستجابة للحوادث المعتمدة إذا تم اكتشاف أي تأثير على العملاء.

رد فعل الصناعة

استجاب مجتمع المطورين الأوسع بسرعة. أصدر مؤسس Binance CZ نصيحة مباشرة لجمهوره. “إذا كان لديك مفاتيح API في كودك، حتى في المستودعات الخاصة، الآن هو الوقت المناسب للتحقق منها وتغييرها،” نشر، مضاعفاً أخبار اختراق GitHub لملايين المطورين حول العالم. هذه النصيحة ليست احترازية. إنها عاجلة. يقوم المطورون بشكل متكرر بتخزين مفاتيح API، ورموز المصادقة، وبيانات اعتماد الخدمة داخل مستودعات خاصة، على افتراض أنها آمنة من التعرض.

الصورة الأكبر للمطورين

تحمل أخبار اختراق بهذا الحجم من GitHub تداعيات كبيرة. وذلك لأن GitHub تستضيف أكثر من 100 مليون مستودع وتعمل كالبنية التحتية الأساسية للكود في النظام البيئي العالمي للمطورين. وبالتالي، فإن الاختراق الذي يستهدف المستودعات الداخلية، حتى بدون تعرض بيانات العملاء، يكشف عن السطح الهائل للهجمات التي تمثلها تهديدات سلسلة التوريد.

بالنسبة للمطورين، هناك ثلاث خطوات فورية مهمة. أولاً، تدوير أي مفاتيح API مخزنة في المستودعات، سواء كانت خاصة أو عامة. ثانياً، تدقيق قوائم الإضافات في VS Code وإزالة أي شيء غير موثوق. أخيراً، تفعيل مسح أسرار المستودع لالتقاط بيانات الاعتماد المعرضة تلقائياً. على الرغم من أن التحقيق لا يزال جارياً، إلا أن شفافية GitHub طوال الوقت كانت ملحوظة. سيكون التقرير الأكثر شمولاً، عند نشره، قراءة أساسية لكل فريق أمني في مجال التكنولوجيا.