اختراق Grafana في مايو 2026: كيف أدى رمز GitHub لم يُستبدل إلى تسريب الشفرة

بداية الهجوم: اختراق سلسلة التوريد عبر TanStack

ترجع جذور الحادثة إلى هجوم منسق على نظامي الحزم البرمجية npm وPyPI في 11 مايو 2026. المهاجمون، المنسوبون إلى مجموعة تهديد تُعرف باسم TeamPCP، تمكنوا من نشر نسخ خبيثة من عشرات الحزم ضمن مساحة الأسماء @tanstack.

تم ذلك عبر اختراق خط التكامل والنشر المستمر (CI/CD) الخاص بالمشروع ونشر إصدارات تحتوي على كود خبيث دون سرقة بيانات دخول الناشرين أنفسهم.

هذه الحزم تضمنت برمجية سرقة بيانات اعتماد تُعرف باسم Mini Shai‑Hulud، صُممت لتحليل بيئة المطور وجمع الرموز الحساسة من أدوات التطوير مثل GitHub Actions وأنظمة CI الأخرى.

وتشير تقارير أمنية لاحقة إلى أن الحملة انتشرت بسرعة عبر منظومة البرمجيات مفتوحة المصدر، لتؤثر على أكثر من 160 حزمة عبر npm وPyPI.

كيف انكشف رمز GitHub الخاص بـ Grafana

وفق تحقيق الشركة، تم تشغيل إحدى الحزم المصابة داخل بيئة تطوير Grafana. الكود الخبيث المدمج فيها استطاع سرقة رمز GitHub workflow المستخدم في عمليات CI/CD الخاصة بالشركة.

بعد انتشار أخبار الهجوم على TanStack، بدأت Grafana عملية تدوير شاملة لبيانات الاعتماد. لكن خلال هذه العملية تم إغفال رمز GitHub واحد ولم يتم استبداله.

هذا الرمز ظل صالحًا، ما منح المهاجمين القدرة على الدخول غير المصرح به إلى بيئة GitHub الخاصة بالشركة.

ما الذي تمكن المهاجمون من الوصول إليه

بحسب إفصاحات Grafana وتقارير خارجية، تمكن المهاجمون من:

• الوصول إلى بيئة GitHub الخاصة بالشركة
• تنزيل مستودع الشفرة المصدرية لمشروع Grafana
• الوصول إلى مستودعات داخلية تستخدم للتعاون وتوثيق العمليات

تشير بعض التقارير إلى أن البيانات التي تم تنزيلها قد تشمل أيضًا مستودعات تعاون داخلية، ومعلومات اتصال تجارية، وعناوين بريد إلكتروني موجودة داخل تلك المستودعات.

مع ذلك أكدت الشركة أن التحقيق لم يعثر على أي دليل على الوصول إلى بيانات العملاء أو معلومات شخصية للمستخدمين.

محاولة الابتزاز

بعد تنزيل المستودعات، أرسل المهاجمون طلب فدية مهددين بنشر البيانات المسروقة علنًا إذا لم يتم الدفع.

التسلسل الزمني للحادثة كان تقريبًا كالتالي:

• 11 مايو 2026: اكتشاف نشاط مشبوه وبدء الاستجابة للحادثة
• 16 مايو 2026: وصول طلب ابتزاز من المهاجمين

Grafana أكدت أنها رفضت الدفع وأبطلت فورًا الرموز المخترقة وبدأت تحقيقًا جنائيًا رقميًا.

لماذا تقول Grafana إن العملاء لم يتأثروا

الشركة شددت على أن الاختراق كان محصورًا في بيئة GitHub الخاصة بالتطوير، وليس في البنية التحتية الإنتاجية.

وبحسب نتائج التحقيق:

• لم يتم اختراق أنظمة الإنتاج
• لم تتأثر منصة Grafana Cloud
• لم يتم الوصول إلى بيانات العملاء أو بيئاتهم

لذلك كان تأثير الحادثة مرتبطًا أساسًا بالشفرة والمستودعات الداخلية المخزنة على GitHub وليس بالأنظمة التشغيلية أو بيانات المستخدمين.

لماذا لم يتم تعديل الشفرة

قالت Grafana إن المهاجمين قاموا بتنزيل المستودعات فقط دون تعديلها.

النشاط المرصود كان يركز على الوصول غير المصرح به وسرقة البيانات، وليس على العبث بالإصدارات البرمجية أو إدخال كود خبيث في المشروع نفسه. ومع ذلك، يعتمد هذا الاستنتاج بشكل أساسي على نتائج التحقيق الداخلي للشركة، إذ لم تُنشر تفاصيل جنائية تقنية كاملة من طرف ثالث حتى الآن.

كيف يندرج الحادث ضمن حملة Mini Shai‑Hulud الأوسع

حادثة Grafana تُعد مثالًا واضحًا على نمط حديث من هجمات سلسلة التوريد التي تستهدف بيئات التطوير نفسها.

في حملة Mini Shai‑Hulud انتشرت الحزم المصابة داخل أنظمة إدارة الحزم التي يستخدمها المطورون، ما أدى إلى إصابة بيئات التطوير وأنظمة CI.

سلسلة الهجوم غالبًا كانت تسير بهذا الشكل:

1. نشر حزم خبيثة في مستودعات برمجية شرعية.
2. قيام المطورين أو أنظمة CI بتشغيل تلك الحزم.
3. سرقة الرموز وبيانات الاعتماد من البيئة المصابة.
4. استخدام هذه البيانات للوصول إلى أنظمة التحكم في الشفرة مثل GitHub.
5. تنزيل البيانات أو الشفرة ثم محاولة ابتزاز الضحية.

في حالة Grafana، كان العامل الحاسم هو رمز CI واحد لم يتم تدويره، ما منح المهاجمين منفذًا مباشرًا إلى مستودعات GitHub الخاصة بالشركة.

الحادثة تبرز خطرًا متزايدًا في عالم الأمن السيبراني: أن رموز الأتمتة وبيئات التطوير أصبحت هدفًا رئيسيًا للهجمات، لأنها قد تمنح المهاجمين وصولًا مباشرًا إلى الشفرة والبنية الداخلية للمؤسسات التقنية.