أعلنت Red Hat، المزود الرائد عالمياً للبرمجيات مفتوحة المصدر للمؤسسات، عن تعرضها لخرق أمني كبير طال منصة GitLab داخلية قيد الاستخدام من قبل فريق الاستشارات في الشركة. ويأتي هذا الإعلان بعد أن زعمت مجموعة تهديد تُعرف باسم Crimson Collective أنها استولت على نحو 570 غيغابايت من البيانات المضغوطة من 28 ألف مستودع خاص، في واحدة من أضخم حوادث تسريب الشيفرات المصدرية في التاريخ السيبراني الحديث.
أوضحت الشركة أن المهاجمين نجحوا في الوصول غير المصرح به إلى بيئة GitLab مخصصة لتعاون فرق الاستشارات مع عملاء محددين، حيث تمكنوا من نسخ بيانات حساسة قبل أن يتم رصد الاختراق. وقد سارعت Red Hat إلى عزل البيئة المتضررة، وإلغاء صلاحيات المهاجمين، وإطلاق تحقيق جنائي شامل بالتعاون مع سلطات إنفاذ القانون.
وتشير المعلومات الأولية إلى أن البيانات المسروقة تضم أصولاً تقنية بالغة الحساسية، من بينها أسرار أنظمة التكامل والتسليم المستمر CI/CD، ملفات تكوين خطوط النشر، ملفات تعريف الاتصال عبر VPN، مخططات للبنية التحتية، تعليمات Ansible، أدلة نشر OpenShift، إعدادات سجلات الحاويات، وأسرار الدمج مع نظام Vault.
الباحثون الذين حللوا العينات المسربة أكدوا وجود إشارات إلى آلاف المنظمات من قطاعات حيوية، بما في ذلك مؤسسات مالية كبرى مثل Citi وJPMC وHSBC، وشركات اتصالات عالمية مثل Verizon وTelefonica، ومصانع صناعية مثل Siemens وBosch، إلى جانب كيانات حكومية على غرار مجلس الشيوخ الأميركي. ويرى خبراء الأمن أن الحادث يُعد مؤشراً على هجوم سلسلة توريد متطور قد يمتد أثره إلى النظام البيئي الواسع لعملاء Red Hat.
المستودعات المكشوفة تتضمن قوالب Infrastructure-as-Code، وأتمتة DevOps، وتكوينات إدارة الاعتمادات، وهي عناصر قد يستخدمها مهاجمون لاحقاً لاختراق أنظمة العملاء. كما أن وجود مفاتيح SSH ورموز API وسلاسل اتصال بقاعدة البيانات يفتح المجال أمام مسارات متعددة لتثبيت وصول مستمر إلى بيئات العملاء.
ويحذر متخصصون من أن تكوينات سجلات الحاويات وملفات نشر Kubernetes المسربة قد توفر للمهاجمين مخططات تفصيلية لاستهداف البنى التحتية السحابية لعملاء Red Hat، في حين أن انكشاف تكوينات GitLab CI/CD وخطوط النشر الآلي يثير قلقاً إضافياً لأنها غالباً ما تحمل صلاحيات عالية داخل بيئات المؤسسات.
وأكدت Red Hat أنها اتخذت إجراءات تعزيز إضافية للحماية من أي وصول غير مشروع مستقبلاً، مشيرة إلى أن تقييماتها الأولية لم تكشف عن تأثير على سلسلة التوريد الأساسية لبرمجياتها أو قنوات التوزيع الرسمية. ومع ذلك، تواصل الشركة التحقيق الجنائي لتحديد النطاق الكامل للتأثير المحتمل على العملاء، متعهدة بإبلاغ أي عميل من عملاء الاستشارات قد يكون متأثراً بشكل مباشر.
الواقعة لا ترتبط بالثغرة الأمنية CVE-2025-10725 التي تم الإعلان عنها مؤخراً والمتعلقة بخدمات Red Hat OpenShift AI.
