تقنى

تكشف دراسة أمنية عن تقنية هجوم جديدة تستهدف مستودعات GitHub النظيفة وتستغل أداة ترميز مدعومة بالذكاء الاصطناعي لتشغيل أوامر ضارة، مع مخاطر

محمد مصطفى29/06/2026آخر تحديث: 29/06/2026
دقيقة واحدة
تكشف دراسة أمنية عن تقنية هجوم جديدة تستهدف مستودعات GitHub النظيفة وتستغل أداة ترميز مدعومة بالذكاء الاصطناعي لتشغيل أوامر ضارة، مع مخاطر

ملخص تقني للهجوم الجديد

Mozilla Warns Clean GitHub Repositories Can Trick Claude Code Into Running Malware

تكشف جهة بحث أمنية عن تقنية هجوم جديدة تستهدف مطورين عبر مستودعات GitHub التي قد تبدو آمنة، وتستغل أدوات ترميز مدعومة بالذكاء الاصطناعي في خطوة قد تمكّن من تشغيل تعليمات ضارة.

لا يعتمد الهجوم على رمز استغلال واضح أو أوامر shell مشبوهة تقليدية، بل يستغل الطريقة التي تتعامل بها أدوات الترميز الذكية مع مشكلات الإعداد التلقائية للمشروعات.

github breach
Image credit: Microsoft

كيف يعمل الهجوم المقترح

يبدأ الأمر بمستودع GitHub ظاهر كأنه نظيف ويحتوي على تعليمات تثبيت عادية، مثل تثبيت الاعتمادات وتهيئة المشروع.

يُصمَّم حزمة بايثون خصيصاً لترفض التشغيل حتى يتم تهيئتها بشكل صحيح.

بدلاً من أن يتم التنفيذ مباشرة، تُظهر رسالة خطأ تطلب تنفيذ أمر تهيئة محدد.

عند قراءة الرسالة كأنها مسألة إعداد، قد تقوم الأداة المعنية بتنفيذ الأمر الموصى به تلقائياً أثناء محاولة إصلاح المشكلة.

هذا الأمر يطلق سكريبت shell يقوم بجلب قيمة إعداد مخزنة داخل سجل DNS TXT يتحكم فيه شخص خبيث.

بدلاً من وجود كود ضار داخل المستودع نفسه، يتم تنفيذ القيمة المستخرجة عبر DNS كأمر، مما يجعل الحمولة مخفية عن أغلب وسائل الفحص التقليدية.

توضح النتائج أن الذكاء الاصطناعي المستخدم في عملية البناء يعمل كحلقة تسلل كاملة، حيث يحصل المهاجم على وصول تفاعلي بمزايا المستخدم للمطور.

هذا المستوى من الوصول قد يكشف معلومات حساسة مثل المتغيرات البيئية ومفاتيح API والملفات الإعدادية وأسرار التطوير الأخرى. وبسبب أن الحمولة تُجلب ديناميكياً من DNS بدلاً من وجودها داخل المستودع، قد تفشل فحوصات الأمان الآلية والمراجعات في اكتشاف شيء مريب أثناء فحص الشفرة.

تشير جهة بحث أمنية إلى أن المهاجمين قد يروّجون لهذه التقنية عبر عروض توظيف مزيفة ودروس عبر الإنترنت أو رسائل مباشرة تستهدف المطورين.

ولتقليل المخاطر، توصي الجهة الأمنية بأن تعرض أدوات ترميز الذكاء الاصطناعي سلسلة التنفيذ الكاملة قبل تشغيل أوامر الإعداد، بما في ذلك أي سكريبتات يتم جلبها أثناء التشغيل، وذلك لتوفير رؤية كاملة للمطورين وتسهم في اكتشاف السلوك غير المتوقع قبل تنفيذ الشفرة.

وفي سياق أمني آخر، تشير تقارير إلى وجود امتداد خبيث لـ Edge يُستخدم لنشر باب خلفي بلغة Python، كما أُشير إلى حملة برمجيات عبر واتساب استهدفت الشركات.

الوسوم
محمد مصطفى29/06/2026آخر تحديث: 29/06/2026
دقيقة واحدة
زر الذهاب إلى الأعلى