كشفت حملة واسعة لتوزيع البرمجيات الخبيثة عن استغلال منسق لمنصة GitHub، حيث استخدم المهاجمون أكثر من 10 آلاف مستودع مخترق أو مستنسخ لنشر حمولات خبيثة تستهدف المستخدمين والمطورين.
رصد هذا النشاط أول مرة في 18 يونيو 2026، عندما لاحظ باحث من OrchidFiles ظهور نسخة مستنسخة من أحد مستودعاته ضمن نتائج محركات البحث. وكانت هذه النسخة مطابقة للمستودع الأصلي من حيث البيانات الوصفية، وسجل الإيداعات، ونسب المساهمين، غير أنها تضمنت رابطاً جديداً مضافاً إلى ملف README يوجه المستخدم إلى أرشيف ZIP خارجي.
وأظهر الفحص أن هذه الحالة تمثل جزءاً من نمط أوسع يضم آلاف المستودعات المصممة بالآلية نفسها. ولم تكن هذه المستودعات مجرد تفريعات اعتيادية، بل أُنشئت كنسخ مستقلة تحاكي سجلات الإيداع وملفات المساهمين الأصلية، لمنحها مظهراً موثوقاً يقلل احتمالات الاشتباه بها.
واعتمد المهاجمون على نمط تشغيلي لافت؛ إذ كانوا يحذفون الإيداعات السابقة ثم يعيدون دفع إيداعات متطابقة كل بضع ساعات، مع تعديل ملف README في كل مرة لإدراج رابط أرشيف ZIP الخبيث. وغالباً ما كانت رسائل الإيداع تصدر بصيغة عامة مثل Update README.md.
وقد كشف التحليل السلوكي عشرات الآلاف من المستودعات المشبوهة وسط نشاط دوري يصعب رصده تلقائياً. إذ كشف تحليل ملفات ZIP المرتبطة بالحملة عن بنية برمجية متكررة للحمولة، تتكون عادة من أربعة ملفات:
- ملف أوامر تنفيذي مثل Application.cmd.
- ملف تحميل مثل loader.exe أو luajit.exe.
- ملف ثانوي يحمل اسماً عشوائياً.
- مكتبة لغة البرمجة lua51.dll.
وكان من المثيرة للاهتمام أن فحص الروابط مباشرة عبر منصات التحليل الأمنية، مثل VirusTotal، لم يسفر عن أي نتائج إيجابية، في حين أدى رفع ملف ZIP نفسه إلى إطلاق تنبيهات تكشف عن وجود حصان طروادة. ويوضح هذا السلوك محاولة المهاجمين الالتفاف على آليات الفحص القائمة على تصنيف عناوين URL، والاعتماد على تنزيل الملف أولاً لتفعيل مرحلة الإصابة بالعدوى لاحقاً.
ولتقدير النطاق الفعلي للحملة، طور الباحث أداة مخصصة للكشف بالاعتماد على بيانات أحداث GitHub المستقاة من منصة GH Archive. وبدلاً من مسح جميع المستودعات التي تتجاوز 500 million مستودع، ركز التحليل على الأنشطة الحديثة والمستودعات التي تشهد إيداعات متكررة. وساهمت هذه التصفية الأولية في تقليص 16 million حدث إيداع جرت خلال خمسة أيام إلى نحو 3,000 مستودع أظهرت تحديثات دورية.
وعقب ذلك، طبقت مؤشرات فحص أكثر صرامة، شملت رصد أنشطة إيداع لا تصدر عن برمجيات أتمتة، وفواصل زمنية غير منتظمة بين العمليات، ومشاركة عدة مساهمين. ومع أن النسخ الأولى من منهجية الكشف حددت عدداً محدوداً من المستودعات، فإن ضبط المعايير لاستيعاب دورات تحديث أقل تكراراً ساهم في توسيع نطاق الرصد بشكل ملحوظ.
وانتهى التحليل النهائي إلى تحديد نحو 40 ألف مستودع مشبوه، طابقت 10 آلاف منها نمط توزيع البرمجيات الخبيثة بدقة عالية. وما يضاعف خطورة هذه الحملة هو استمرار العديد من هذه المستودعات نشطاً لعدة أشهر أو أكثر دون رصده.
ورغم الإبلاغ عن هذه الأنشطة، فإن إجراءات المعالجة اتسمت برد الفعل بدلاً من التحرك الاستباقي، حيث كانت المستودعات تحذف غالباً بعد تقديم بلاغات نوعية عنها. كما أظهرت عمليات الفحص اللاحقة ظهور مستودعات خبيثة جديدة، ما يؤكد أن الجهات المنفذة للحملة تواصل صيانة بنيتها التحتية وتحديثها باستمرار.
وتشير المعطيات إلى أن الاستراتيجية المتبعة تدمج بين استغلال تقنيات تحسين محركات البحث SEO والهندسة الاجتماعية. فمن خلال استنساخ مستودعات حديثة أو محدودة الانتشار وإضافة الوسوم المناسبة لها، تنجح المشاريع الخبيثة في تصدر نتائج البحث. ويسهم وجود تاريخ مساهمين يبدو مشروعاً في تعزيز موثوقية المستودع، مما يرفع معدلات تفاعل المستخدمين مع الروابط وتشغيل الحمولات الخبيثة.
ولا تزال هناك تساؤلات جوهرية قائمة حول القدرات الكاملة للبرمجيات المستخدمة في هذه الحملة وأهدافها النهائية. ومع ذلك، فإن تقنيات مشابهة ارتبطت تاريخياً بمحملات مثل SmartLoader وبرمجيات سرقة البيانات مثل StealC، مما يرجح احتمالية استهداف بيانات الاعتماد أو اختراق الأنظمة بالكامل.
