حملات استطلاع منسقة تستهدف GitHub عبر إساءة استخدام واجهات البرمجة 

شبكات الحسابات الشبحية تنجح في اختراق أنظمة الكشف التقليدية لمنصة GitHub

حملات استطلاع منسقة تستهدف GitHub عبر إساءة استخدام واجهات البرمجة 
واجهات البرمجة العامة في GitHub تتحول إلى أداة استطلاع منسقة لسرقة الملكية الفكرية.

كشفت أبحاث أمنية حديثة أجرتها Datadog Security Labs عن رصد حملات سيبرانية منسقة ومتداخلة تستهدف منصة GitHub عبر واجهات البرمجة (APIs). تعتمد هذه العمليات على دمج تقنيات “الحسابات الشبحية” (Ghost Accounts) مع رموز وصول مسربة لإجراء عمليات استطلاع منهجية وموسعة تستهدف البنى التحتية للمؤسسات البرمجية، مستغلة في ذلك نقاط الـ REST وGraphQL العامة.

آليات الاستطلاع والتمويه البرمجي

تعتمد الحملة على شبكات من الحسابات الخاملة التي تم تفعيلها حديثاً بعد سنوات من السكون؛ وهي حسابات تتبع أنماط تسمية محددة مثل عائلة amazon-data-*، وعائلة *-orb التي تضم أسماء كـkuku-orb وlulu-orb، إلى جانب حسابات مثل user432023 وuser412023. يستخدم المهاجمون وكلاء مستخدم مموهة، مثل GitHub-Company-Scraper أو GitHubAnalytics/1.5، لجمع بيانات تفصيلية حول المؤسسات، والمستودعات، والأعضاء. وبما أن هذه الاستعلامات تتم عبر مسارات عامة، فإنها تعيد استجابات HTTP 200 ناجحة، ما يجعل هذه الأنشطة قابلة للاندماج بسلاسة ضمن حركة المرور الطبيعية للمنصة وتجاوز أنظمة الكشف التقليدية.

تصعيد الهجوم عبر رموز الوصول المسربة

تتخذ الحملة منحىً أخطر عند الانتقال إلى إساءة استخدام رموز وصول شرعية مسربة، سواء كانت رموز OAuth أو رموز وصول شخصية (PAT). ففي حملات رُصدت بين ديسمبر 2025 وفبراير 2026، استخدمت أدوات استخراج متطورة، مثل GitHub-Commit-Fetcher، عبر بنية تحتية تابعة لمزود الاستضافة 3xK Tech، في محاولات مباشرة للوصول إلى مسارات الاعتمادات في مستودعات سرية.

ورغم فشل أغلب تلك المحاولات، إلا أن Datadog سجلت حالات نادرة نجح فيها المهاجمون في تخطي الاستطلاع الأولي واستنساخ مستودعات خاصة، في تهديد مباشر للملكية الفكرية.

التداعيات الأمنية وتوصيات الحماية

يؤكد خبراء من Beauceron Security وDataBee أن تحول GitHub إلى أداة استطلاع مؤسسي يعكس مخاطر تسارع دورة حياة تطوير البرمجيات والاعتماد الكثيف على وكلاء الذكاء الاصطناعي، ما يزيد من احتمالية تسريب الأسرار البرمجية. 

وفي ظل غياب بيان رسمي من GitHub حتى الآن، توصي Datadog الفرق الأمنية بتفعيل سجلات التدقيق بشكل صارم، مع ضرورة المراقبة المستمرة لسلوك وكلاء المستخدم، وتدقيق أنماط الرموز النشطة، وفحص مسارات الاستعلام بشكل استباقي لعزل أي سلوك شاذ عن أنشطة التطوير اليومية.

الموثوقة والمعتمدة لدى خبراء الأمن السيبراني

تقرأ في نشرتنا التي تصلك كل أسبوع:

  • أحدث أخبار ومستجدات الأمن السيبراني محليًا وعالميًا.
  • تحليلات وتقارير دقيقة يقدمها خبراء المجال.
  • نصائح عملية لتطوير استراتيجياتك السيبرانية.
  • مراجعات شاملة لأهم الأحداث والتطورات التقنية
اذهب إلى الأعلى