قطعت شركة مايكروسوفت الوصول إلى العشرات من مشاريعها مفتوحة المصدر المستضافة على GitHub، حيث تحقق في كيفية قيام المتسللين على ما يبدو باختراق المشاريع وحقن برامج ضارة لسرقة كلمات المرور في التعليمات البرمجية.
تتعلق العديد من المشاريع المتأثرة بخدمة Azure السحابية من Microsoft والأدوات الأخرى التي يستخدمها المطورون للبرمجة باستخدام تطبيقات تطوير الذكاء الاصطناعي، مثل Claude Code وواجهة سطر أوامر Gemini وVS Code.
وفقًا لشركة الأمن Cloudsmith وموقع تحليل البرامج الضارة المجتمعي OpenSourceMalware، الذين كانوا من أوائل الذين أبلغوا عن الاختراق، سمحت البرامج الضارة للمتسللين بسرقة كلمات مرور المستخدم وبيانات الاعتماد الحساسة الأخرى عندما فتحوا الأدوات المخترقة في تطبيقات تشفير الذكاء الاصطناعي الخاصة بهم.
ولا يُعرف على الفور عدد الأشخاص الذين قاموا بتنزيل الأدوات المتأثرة.
أكدت شركة Microsoft أنها سحبت اتفاقيات إعادة الشراء، كما ذكرت لأول مرة 404 Media. أقر متحدث باسم Microsoft باستلام بريدنا الإلكتروني، لكنه لم يعلق على الفور.
تم “تعطيل” ما لا يقل عن 70 مشروعًا تابعًا لشركة Microsoft، وذلك وفقًا لرسالة تم تحميلها عند محاولة الوصول إلى صفحات المشاريع على GitHub، وهو موقع استضافة التعليمات البرمجية الذي تمتلكه Microsoft. “تم تعطيل الوصول إلى هذا المستودع من قبل موظفي GitHub بسبب انتهاك شروط خدمة GitHub.”
وهذا هو أحدث مثال في الأشهر الأخيرة على قيام المتسللين باختراق مشاريع مفتوحة المصدر شائعة على نطاق واسع بهدف زرع برامج ضارة على عدد كبير من المستخدمين الذين قاموا بتثبيت التعليمات البرمجية على أجهزة الكمبيوتر الخاصة بهم. تُعرف عمليات الاختراق هذه باسم هجمات “سلسلة التوريد” لأنها تستهدف التعليمات البرمجية التي يتم استخدامها غالبًا في عدد كبير من منتجات البرامج، أو بواسطة نوع معين من المستخدمين، وهو ما قد يكون مفيدًا للاختراق حيث يمكنهم أحيانًا الوصول إلى الأنظمة السحابية وكميات كبيرة من بيانات العملاء.
في حين أنه ليس من غير المألوف أن يتم استهداف المطورين الوحيدين للمشاريع مفتوحة المصدر من قبل المتسللين – في بعض الحالات كجزء من الجهود طويلة الأمد لكسب ثقة المطور – فمن النادر أن يتم اختراق عمالقة التكنولوجيا الكبار مثل Microsoft، الذين لديهم الموارد اللازمة للدفاع ضد هذه الأنواع من الهجمات.
هذا هو الاختراق الثاني المعروف لشركة Microsoft خلال الأسابيع القليلة الماضية والذي سمح للمتسللين باختراق مشاريعها مفتوحة المصدر، وفقًا لـ Ars Technica. وفي منتصف شهر مايو، قال باحثون أمنيون إن مشروع مايكروسوفت مفتوح المصدر “Durable Task”، وهي أداة تساعد المطورين على بناء التطبيقات، قد تعرض للاختراق. قال OpenSourceMalware إن الحادث الأخير الذي تعرضت له Microsoft هو “إعادة تسوية” لمشروع المهمة الدائمة، مما يشير إلى أن Microsoft ربما لم تتمكن من القضاء على المتسللين في محاولتها الأولى أو في اختراق جديد تمامًا ومتميز.
عندما تقوم بالشراء من خلال الروابط الموجودة في مقالاتنا، قد نكسب عمولة صغيرة. هذا لا يؤثر على استقلالنا التحريري.
