Checkmarx كاتاكد بلي البيانات ديالها فـ GitHub تسرقو وتحطو فـ Dark Web مورا هجمة Supply Chain ديال شهر مارس
Checkmarx Confirms GitHub Repository Data Posted on Dark Web After March 23 Attack
Checkmarx كاتاكد بلي البيانات ديالها فـ GitHub تسرقو وتحطو فـ Dark Web مورا هجمة Supply Chain ديال شهر مارس
بالنسبة لمجتمع البرمجة و الـ Tech فالمغرب — من الـ Startups ديال كازا حتى لليكيبات ديال الـ Dev فرباط — الحماية ديال الـ Supply Chain (سلسلة التوريد) ولات قضية مصيرية كتر من أي وقت فات. مؤخراً، شركة Checkmarx اللي معروفة فمجال حماية التطبيقات (Application Security)، أكدات بلي كاينين بيانات تسرقو من الـ Repositories ديالها فـ GitHub وتحطو للبيع فـ Dark Web. هاد التسريب جا كنيتجة مباشرة لواحد الهجمة معقدة ديال Supply Chain بدات فـ 23 مارس 2026، وهي درس قاصح كيبين كيفاش التقنيات ديال التطوير Modular اللي كنخدمو بيها دابا تقدر تولي نقطة ضعف.
الخلاصة (TL;DR)
Checkmarx أكدات بلي البيانات اللي تلوحات فـ Dark Web جاية من الـ GitHub Repository ديالها، اللي دخلو ليه الهاكرز فواحد الهجمة ديال Supply Chain فمارس 2026. وخا هاد التسريب فيه Source Code، و API Keys، ومعلومات الموضفين، الشركة كتقول بلي البيئة ديال الإنتاج (Production Environments) ديال الكليان معزولة وما تقاسنش. خاص الفرق ديال الـ Security يردو بالهم حيت هاد الهجمة استاغلات VS Code extensions ملوثين و GitHub Actions باش تنشر Malware كيسرق الـ Credentials.
كيفاش وقعات الهجمة: من الـ Supply Chain للتسريب
المشكل بدا فـ 23 مارس 2026، فاش طاحت Checkmarx ضحية لهجمة Supply Chain. فهاد النوع ديال الهجمات، الهاكرز ما كيضربوش السيرفرات ديال الشركة مباشرة، ولكن كيستهدفو شي أداة كايخدمو بيها المطورين ولا شي خدمة طرف ثالث (Third-party). فهاد الحالة، الهاكرز (اللي تسمّاو فالبداية TeamPCP) تلاعبو بالـ GitHub Actions workflows وبالـ Plugins اللي كاينين فـ Open VSX marketplace.
فاللخر ديال شهر أبريل، وبالضبط فـ 26 أبريل 2026، بان بلي هاد الدخلة الأولى ولات تسريب كبير ديال البيانات. Checkmarx أكدات بلي مجموعة إجرامية لحت البيانات ديال الشركة فـ Dark Web. التحقيقات كتقول بلي الهجمة اللولى هي اللي حلات الباب للهاكرز باش يوصلو للـ GitHub Repository ويهزو منو كاع داكشي اللي بغاو.
شنو اللي تسرق؟
وخا Checkmarx مزال كدير تحقيق جنائي (Forensic Probe) باش تعرف طبيعة التسريب بالضبط، موقع "Dark Web Informer" قال بلي مجموعة LAPSUS$ هي اللي علنات مسؤوليتها على هاد النشر. هاد القضية خلات شوية ديال الشك حيت TeamPCP هما اللي بداو الهجمة فمارس، ولكن LAPSUS$ هما اللي حطو الداتا.
القائمة ديال البيانات اللي تسرقات فيها:
- Source code ديال مشاريع بزاف.
- Employee databases (قواعد بيانات الموضفين).
- API keys (اللي كيتعبرو بحال "باسبورات رقمية" كتخلي البرامج تهضر مع بعضياتها).
- Database credentials ديال MongoDB و MySQL.
التأثير على أدوات المطورين
هاد الحادث مهم بزااف للمطورين فالمغرب حيت تقاسو فيه أدوات كنخدمو بها يومياً. التحقيق كشف بلي الهاكرز قدرو يختقرو:
- جوج ديال VS Code extensions: هادوك البرامج الصغيرة اللي كنزيدو فـ VS Code باش تعاونا فـ Coding.
- KICS Docker image: واحد الأداة كتستعمل باش نقلبو على الثغرات فـ Infrastructure as Code (IaC).
- GitHub Actions workflows: الـ Scripts ديال الأتمتة (Automation) اللي كيديرو الـ CI/CD.
هاد المكونات تزرع فيهم Malware كيسرق الـ Credentials. هاد الفيروس مبرمج باش يجمع الأسرار (Secrets) من الجهاز ديال المطور. الهجمة وصلات حتى لـ Bitwarden CLI npm package اللي تقاست لفترة قصيرة.
عزل بيئات الخدمة (Separation of Environments)
واحد النقطة مهمة للشركات اللي خدادمة بـ Checkmarx دابا هي العزل ديال الإنشاءات التحتية. الشركة وضّحات بلي الـ GitHub Repository ديالها معزول تماماً على الـ Customer production environment.
والأهم من هادشي، Checkmarx كتقول بلي حتى شي معلومات ديال الكليان ما مخزونة فداك الـ Repository اللي تضرب. هادشي كيتسمى "Segmentation" فمجال الـ Security، وهو اللي كيضمن بلي إلا تضرب المختبر ديال التطوير، ماشي بالضرورة المخزن ديال السلعة (الإنتاج) غايتضرب حتى هو.
الإجراءات اللي تخاذو والحالة دابا
باش تواجه هاد المشكل، Checkmarx دارت بزاف ديال الخطوات:
- Lockdown: سدو كاع المداخل للـ GitHub Repository اللي تقاس.
- تحقيق جنائي: كاين بحث معمق دابا باش يتأكدو واش تقاست شي معلومات ديال الكليان.
- الشفافية: الشركة التزمت بلي غاتعلم الكليان وأي واحد معني مباشرة إلا بان بلي المعلومات ديالهم تسربات.
دروس مستفادة لمجتمع الـ Tech المغربي
هاد الحادث كيبين بلي حتى الشركات ديال السيكيوريتي ماشي محمية 100% من مخاطر الـ Supply Chain. هادشي كيفكرنا حنا كـ Sysadmins و Developers بلي خاصنا:
- نديرو Audit لـ GitHub Actions: تأكد بلي كتخدم بـ "Pinned versions" (باستعمال SHA hash) بلاصت ما تخدم غير بـ Version Tag عادي.
- نردو البال لـ Marketplace Plugins: أي Extension فـ VS Code ولا شي أداة من Marketplace خاص الواحد يحضي معاها، حيت يقدر يكون فيها Malware.
- نقصو من الـ Secrets: عمرك تخلي Secrets ديال الـ Production ولا API keys حساسين فـ Repositories إلا مكانتش ضرورة قصوى.
مزال ما عرفناش الحجم الكامل ديال هاد التسريب، وغادي نوافيكم بأي معلومات جديدة فوقت ما خرجات من التحقيق الجنائي.
المصدر: The Hacker News - Checkmarx Confirms GitHub Repository Data Posted on Dark Web
