شهدت الآونة الأخيرة هجوماً سيبرانياً معقداً استهدف خوادم لينكس لعدة أسابيع، حيث تمكن المهاجمون من اختراق حزم برمجيات Red Hat التي يعتمد عليها آلاف المطورين حول العالم. هذا التصعيد الخطير في مجال الأمن السيبراني استدعى استجابة فورية من الفرق التقنية، نظراً لحجم الاختراق وقدرته على الوصول إلى أدوات تطوير حساسة تستخدمها كبرى الشركات العالمية.
- ✅ اختراق أكثر من 30 حزمة رسمية من خدمات Red Hat Cloud عبر حساب GitHub موظف.
- ✅ البرمجية الخبيثة تستهدف سرقة بيانات الاعتماد لخدمات AWS وAzure وGoogle Cloud.
- ✅ تم تسجيل أكثر من 117,000 عملية تنزيل أسبوعية للحزم المصابة قبل اكتشافها.
- ✅ خطر تقني يؤدي لحذف مجلد المستخدم الرئيسي في حال محاولة تغيير كلمات المرور قبل تنظيف النظام.
أشارت شركة Aikido المتخصصة في الأمن الرقمي إلى أن الهجوم طال ما يقرب من 32 حزمة مختلفة ضمن خدمات Red Hat Cloud، وهي القسم المسؤول عن توفير الأدوات البرمجية للمطورين. وبحسب التقارير، فقد أصيبت 96 نسخة من هذه الحزم ببرمجيات خبيثة مصممة خصيصاً لسرقة بيانات الاعتماد الحساسة، مما يضع آلاف المؤسسات في دائرة الخطر.
آلية الاختراق: كيف تسللت البرمجية الخبيثة؟
على خلاف أساليب "التصيد" التقليدية التي تعتمد على حزم مزيفة، نجح المهاجمون في الوصول إلى حساب GitHub الخاص بأحد موظفي Red Hat. مكنهم هذا الوصول من حقن تعليمات برمجية ضارة داخل مستودعات شرعية وموثوقة. ونتيجة لذلك، حصل المطورون على نسخ رسمية من البرمجيات ولكنها تحتوي على ثغرة أمنية مخفية يتم تفعيلها فور التثبيت.
بمجرد تثبيت الحزمة، يتم تشغيل حمولة (Payload) يبلغ حجمها 4.2 ميجابايت، مصممة بذكاء لتجاوز أنظمة الدفاع التقليدية. تبدأ هذه الحمولة فوراً في مسح النظام بحثاً عن أي بيانات اعتماد، بما في ذلك مفاتيح SSH الخاصة، ورموز GitHub، وبيانات تسجيل الدخول لمنصات الحوسبة السحابية الكبرى مثل AWS وAzure.
تكتيكات الإخفاء والتمويه المتقدمة
لضمان عدم اكتشاف حركة البيانات المسروقة، استخدم المهاجمون تكتيكاً ذكياً عبر إرسال المعلومات إلى مستودعات GitHub عامة تحت سيطرتهم، مع إظهار الاتصالات في سجلات الشبكة وكأنها موجهة إلى نطاق شرعي تابع لشركة Anthropic (api.anthropic.com). هذا التمويه يجعل النشاط الخبيث يبدو وكأنه استعلامات عادية للذكاء الاصطناعي.
بالإضافة إلى ذلك، تقوم البرمجيات الخبيثة بإنشاء خدمات دائمة على نظام التشغيل لضمان استمراريتها حتى بعد إعادة التشغيل. كما تمتد خطورتها لتشمل حقن أكواد في أدوات التطوير الشهيرة مثل Visual Studio Code وGitHub Copilot، مما يعزز من قدرتها على التجسس طويل الأمد.
تحذيرات أمنية حرجة للمستخدمين
حذر باحثو الأمن من خطأ فادح قد يقع فيه المسؤولون، وهو محاولة إلغاء أو تغيير بيانات الاعتماد قبل إزالة البرمجية الخبيثة تماماً. فقد تمت برمجة الكود الخبيث ليقوم بحذف مجلد المستخدم الرئيسي (Home Directory) في حال اكتشاف محاولة لتغيير الرموز الأمنية. لذا، يجب أولاً تنظيف النظام وحذف الملفات المصابة بالكامل، ثم البدء في إجراءات تأمين الحسابات.
تؤكد هذه الحادثة على هشاشة سلاسل توريد البرمجيات؛ حيث أن اختراق نقطة دخول واحدة في شركة عملاقة مثل Red Hat قد يعرض عملاءها الكبار، مثل Apple وMicrosoft وAmazon، لمخاطر جسيمة. وعلى الرغم من إزالة معظم النسخ المصابة من المستودعات الرسمية، إلا أن التحقق من سلامة الأنظمة يظل أولوية قصوى لكل من يستخدم خوادم لينكس في بيئات التطوير.
كيف تمكن المهاجمون من اختراق حزم Red Hat الرسمية؟
لم يتم الاختراق عبر ثغرة في النظام نفسه، بل من خلال الوصول إلى حساب GitHub الخاص بأحد موظفي Red Hat، مما سمح للمهاجمين بحقن الأكواد الخبيثة مباشرة في المستودعات الشرعية التي يثق بها المطورون.
ما هي أنواع البيانات التي تسعى هذه البرمجية لسرقتها؟
تستهدف البرمجية بشكل أساسي بيانات الاعتماد السحابية (AWS, Azure, Google Cloud)، ومفاتيح SSH الخاصة، ورموز الوصول إلى GitHub، بالإضافة إلى كلمات المرور المخزنة في ملفات الإعداد الخاصة بأدوات التطوير.
لماذا يعتبر تغيير كلمة المرور فوراً خطراً في هذه الحالة؟
تحتوي البرمجية الخبيثة على آلية دفاعية تقوم بحذف مجلد المستخدم الرئيسي كاملاً إذا حاولت تغيير رموز الوصول أو كلمات المرور قبل إزالة الملفات المصابة من النظام، مما يؤدي لفقدان بياناتك بالكامل.
كيف تخفي البرمجية نشاطها عن مسؤولي الشبكة؟
تقوم البرمجية بتوجيه البيانات المسروقة عبر نطاقات تبدو شرعية، مثل النطاقات التابعة لشركة Anthropic للذكاء الاصطناعي، لتبدو حركة المرور وكأنها نشاط طبيعي لأدوات مثل Claude أو Copilot.
🔎 في الختام، يظهر هذا الاختراق أن الثقة المطلقة في المستودعات الرسمية لم تعد كافية في ظل تطور هجمات سلاسل التوريد. إن حماية الأمن السيبراني تتطلب يقظة مستمرة وفحصاً دورياً للأدوات البرمجية، حتى تلك القادمة من مصادر موثوقة، لضمان سلامة البيانات الحساسة واستمرارية العمل في البيئات السحابية المعقدة.
قم بالتعليق على الموضوع