من الشيفرة إلى الفوضى: كيف يحوّل القراصنة GitHub وGitLab إلى منصّات إطلاق للجريمة السيبرانية

العنوان الفرعي: منصّات المطوّرين الموثوقة أصبحت اليوم نقطة الصفر لعمليات برمجيات خبيثة وتصَيّد متقدّمة، ما يطمس الخط الفاصل بين الابتكار المشروع والخداع الرقمي.

عندما يتعاون أفضل مطوّري العالم على GitHub وGitLab، قلّما يتخيّل أحد أن تتحوّل هذه المنصّات إلى ساحات لعب للجريمة السيبرانية. لكن في الزوايا المعتمة من الويب، يسلّح القراصنة الثقة المنسوجة في هذه المستودعات - فيستخدمونها لتهريب البرمجيات الخبيثة وإطلاق هجمات تصيّد تتجاوز حتى أشدّ دفاعات الشركات صرامة. الأدوات ذاتها التي تغذّي الابتكار تُختطف الآن لتدبير سرقات رقمية، تاركةً المؤسسات تتخبّط لتمييز الصديق من العدو.

حقائق سريعة

نحو 95% من الهجمات المرصودة تُسيء استخدام نطاقات GitHub؛ بينما لا تستهدف GitLab سوى 5%.
ارتفعت الحملات الخبيثة التي تستخدم مستودعات Git سنويًا، مع تسجيل عام 2025 نسبة 45% من جميع الحوادث الحديثة.
أكثر من 30 عائلة برمجيات خبيثة تستغل هذه المنصّات، تتصدرها Remcos RAT وByakugan.
يتصدّر تصيّد بيانات الاعتماد المشهد، لكن الهجمات «الهجينة» تربط بين البرمجيات الخبيثة والتصيّد لتحقيق أقصى أثر.
غالبًا ما تختبئ الملفات الخبيثة خلف نطاقات موثوقة مثل github.com وgithubusercontent.com وgithub.io.

في عالم المطوّرين، يُعد GitHub وGitLab مرادفين للإبداع والتعاون. أمّا بالنسبة للقراصنة، فهذه المنصّات منجم ذهب - توفّر استضافة مجانية وذات سمعة جيدة لكل شيء، من أحصنة طروادة للوصول عن بُعد (RATs) إلى بوابات تسجيل دخول مزيفة. ومن خلال توليد عناوين URL على نطاقات موثوقة، يتجاوز المهاجمون بوابات البريد الإلكتروني ومرشّحات الروابط بسهولة مقلقة.

الأرقام تروي قصة صارخة: 95% من هذه الحملات تستفيد من هيمنة GitHub، مع تزايد هجمات التصيّد والبرمجيات الخبيثة عامًا بعد عام. وفي عام 2025 وحده، وقع ما يقرب من نصف النشاط الخبيث المرصود على منصّات Git. ويؤكد هذا الاتجاه حقيقة مروّعة - GitHub يواجه أزمة برمجيات خبيثة متصاعدة، إذ يستغل المهاجمون نطاقاته الأساسية لتسليم البرمجيات الخبيثة وسرقة بيانات الاعتماد على حد سواء.

كيف تتكشف هذه الهجمات؟ غالبًا ما تبدأ برابط يبدو بريئًا في رسالة بريد إلكتروني. نقرة واحدة قد تُطلق تنزيلًا صامتًا لبرمجيات خبيثة مثل Muck Stealer، أو تعيد توجيه الضحية إلى موقع تصيّد مقنع يحاكي تسجيلات دخول Microsoft 365 أو Google. وكثيرًا ما يُخفي المهاجمون برمجيات RAT مثل Remcos وAsync RAT وByakugan وDcRAT داخل أرشيفات محمية بكلمة مرور (.zip و.7z)، متجاوزين الفحوصات الآلية ورافعين فرص نجاحهم.

الهجمات الهجينة في تصاعد، إذ تربط عدوى البرمجيات الخبيثة بتصيّد بيانات الاعتماد لتعظيم الوصول - حتى إن أُحبطت إحدى المراحل. وتُفضَّل GitHub Pages (github.io) وGitLab Pages (gitlab.io) على وجه الخصوص لاستضافة مواقع تصيّد ثابتة، مستغلةً سمعة المنصّات وطول عمرها للتهرّب من الاكتشاف.

الأثر عميق. فقد تم تحديد أكثر من 30 عائلة برمجيات خبيثة تستخدم هذه المنصّات الموثوقة كنقاط تمركز. ويشكّل Remcos RAT وحده 21% من الحملات المرصودة، ما يمكّن المهاجمين من التحكم عن بُعد بالأنظمة المصابة، وسرقة كلمات المرور، وحتى تعدين العملات المشفّرة دون اكتشاف. وتثبت إجراءات الأمن التقليدية - قوائم حظر النطاقات، ودرجات السمعة، والفحص القياسي - عدم كفايتها. وعلى فرق الأمن الآن أن تنظر أعمق، عبر الجمع بين التحليل السلوكي وتدريب الموظفين لرصد الذئب المتنكر بلباس المطوّر.

ومع استمرار GitHub وGitLab في دعم منظومة البرمجيات العالمية، فإن إساءة استخدامهما من قبل مجرمي الإنترنت تمثل تحذيرًا صارخًا. الثقة، التي كانت يومًا أعظم أصول هذه المنصّات، أصبحت الآن السلاح ذاته الذي يُوجَّه ضدنا. والتحدي القادم واضح: حماية شيفرتنا وشركاتنا دون المساس بالروح المفتوحة التي بنت العالم الرقمي.

WIKICROOK

حصان طروادة للوصول عن بُعد (RAT): حصان طروادة للوصول عن بُعد (RAT) هو برمجية خبيثة تتيح للمهاجمين التحكم سرًا في حاسوب الضحية من أي مكان، بما يمكّن من السرقة والتجسس.
تصيّد بيانات الاعتماد: تصيّد بيانات الاعتماد هو هجوم سيبراني ينتحل فيه المهاجمون مواقع موثوقة لسرقة أسماء المستخدمين أو كلمات المرور أو معلومات تسجيل الدخول الحساسة من مستخدمين غير منتبهين.
GitHub Pages: تتيح GitHub Pages للمستخدمين استضافة مواقع ثابتة من مستودعات GitHub. وهي مفيدة لكنها تُساء استخدامها أحيانًا للتصيّد أو لاستضافة محتوى خبيث.
المُحمِّل (Loader): المُحمِّل هو برنامج خبيث يثبّت أو يشغّل برمجيات خبيثة أخرى على نظام مصاب، ما يتيح هجمات سيبرانية إضافية أو وصولًا غير مصرح به.
بوابة بريد إلكتروني آمنة (SEG): تقوم بوابة البريد الإلكتروني الآمنة بتصفية الرسائل ومراقبتها لحظر التهديدات مثل التصيّد والبرمجيات الخبيثة والبريد العشوائي، وحماية المؤسسات من الهجمات المعتمدة على البريد الإلكتروني.