أكدت GitHub في مايو 2026 أن إضافة خبيثة في Visual Studio Code أصابت جهاز أحد الموظفين وسمحت للمهاجمين بالوصول إلى نحو 3800 مستودع داخلي للشركة. الهجوم يُنسب إلى مجموعة TeamPCP، ويُعتقد أنه مرتبط بحملة سلسلة توريد برمجية أوسع تُعرف باسم "Mini Shai‑Hulud" تستهدف أدوات المطورين والمكتبات مفتوحة المصدر.

Create a landscape editorial hero image for this Studio Global article: What happened in the GitHub breach where a malicious VS Code extension led to the compromise of around 3,800 internal repositories, who was. Article summary: GitHub said an employee device was compromised through a poisoned VS Code extension, enabling unauthorized access to roughly 3,800 internal repositories; the attack was claimed by TeamPCP, the same actor tied to the “Min. Topic tags: general, general web. Reference image context from search candidates: Reference image 1: visual subject "A Trojanized VS Code Extension Let Hackers Into GitHub's Internal Repositories. GitHub confirmed on May 19–20, 2026, that an attacker accessed and exfiltrated data from roughly 3,8" source context "GitHub Internal Repos Breached via Poisoned VS Code Extension" Reference image 2: visual subject "# GitHub Confirms Breach of 3,800 R
في مايو 2026 أعلنت منصة GitHub عن حادثة أمنية لفتت انتباه مجتمع البرمجيات العالمي، بعدما تمكن مهاجمون من الوصول إلى آلاف المستودعات الداخلية للشركة. المثير في القصة أن الاختراق لم يبدأ بثغرة في خوادم GitHub نفسها، بل عبر إضافة خبيثة في محرر Visual Studio Code (VS Code) تم تثبيتها على جهاز أحد الموظفين.
النتيجة: وصول غير مصرح به إلى نحو 3800 مستودع داخلي تابع لـ GitHub قبل اكتشاف الهجوم واحتوائه.
ورغم خطورة الحادثة، أكدت الشركة أن التحقيقات الأولية لم تجد أي دليل على تأثر مستودعات العملاء أو بيانات المؤسسات التي تستخدم GitHub.
وفق تصريحات GitHub وتقارير أمنية، بدأت الحادثة عندما قام موظف بتثبيت إضافة VS Code مُعدّلة بشكل خبيث من متجر الإضافات الخاص بالمحرر. بعد التثبيت، تمكنت الإضافة من اختراق جهاز الموظف.
من تلك النقطة، استطاع المهاجمون:
المشكلة هنا أن الإضافات في VS Code غالباً ما تعمل بصلاحيات واسعة داخل بيئة التطوير، ما يسمح لها بالوصول إلى الملفات المحلية والرموز السرية والبيئة البرمجية للمطور.
مجموعة تهديد تُعرف باسم TeamPCP أعلنت مسؤوليتها عن الاختراق، وزعمت أنها حصلت على كود المصدر الداخلي لـ GitHub وبعض بيانات التنظيمات الداخلية.
وتشير تقارير أمنية إلى أن المجموعة عرضت هذه البيانات للبيع في منتديات الجرائم الإلكترونية. ومع ذلك، لم تؤكد GitHub رسمياً نسبة الهجوم إلى جهة محددة في بيانها الأولي.
في السنوات الأخيرة، أصبحت TeamPCP معروفة بتنفيذ هجمات على سلسلة توريد البرمجيات تستهدف بيئات المطورين والأدوات المستخدمة في بناء التطبيقات.
الإضافات في محررات البرمجة ليست مجرد أدوات بسيطة؛ فهي غالباً تشغّل تعليمات برمجية محلياً وتملك صلاحيات للوصول إلى ملفات المشروع والرموز السرية.
في هذه الحادثة، تشير التقارير إلى أن الإضافة الخبيثة ربما قامت بـ:
وبمجرد امتلاك بيانات اعتماد صحيحة أو جلسة نشطة، لم يكن المهاجمون بحاجة لاختراق بنية GitHub التحتية مباشرة. تمكنوا ببساطة من الدخول باستخدام صلاحيات الموظف نفسه.
هذا الأسلوب أصبح شائعاً في هجمات سلسلة التوريد: بدلاً من مهاجمة المنصة مباشرة، يتم اختراق بيئة المطور ثم الانتقال منها إلى الأنظمة الداخلية.
قالت GitHub إنها اكتشفت النشاط المشبوه بسرعة واحتوت الحادثة بعد ربطه بالإضافة الخبيثة. وشملت الإجراءات التي اتخذتها الشركة:
كما ذكرت الشركة أنها تواصل مراقبة أنظمتها تحسباً لأي نشاط خبيث مرتبط بالاختراق.
حتى الآن، تشير نتائج التحقيق إلى أن الاختراق اقتصر على مستودعات GitHub الداخلية.
وأكدت الشركة أنه لا يوجد دليل على تأثر مستودعات العملاء أو حسابات المؤسسات أو بيانات المستخدمين المخزنة على المنصة.
وهذا فرق مهم لأن GitHub تستضيف كوداً لملايين المطورين والشركات حول العالم، لكن المستودعات المتأثرة كانت ضمن بيئة الشركة الداخلية فقط.
يرى باحثون في الأمن السيبراني أن الاختراق قد يكون جزءاً من حملة أوسع تُعرف باسم Mini Shai‑Hulud، وهي سلسلة هجمات على سلسلة توريد البرمجيات مرتبطة أيضاً بمجموعة TeamPCP.
استهدفت هذه الحملة عدة مكونات في بيئة تطوير البرمجيات، مثل:
وكان الهدف من الحزم الخبيثة سرقة الأسرار الرقمية مثل مفاتيح السحابة، ورموز CI/CD، وبيانات مصادقة المطورين، مما يسمح للمهاجمين بالتحرك داخل خطوط تطوير البرمجيات.
حتى مع عدم تأثر بيانات العملاء، تكشف حادثة GitHub تحولاً واضحاً في طبيعة التهديدات الأمنية.
بدلاً من استهداف الخوادم مباشرة، أصبح المهاجمون يركزون على نقاط أضعف في المنظومة مثل:
هذه البيئات غالباً ما تحتوي على مفاتيح وصول عالية القيمة يمكن استخدامها للوصول إلى الأنظمة الإنتاجية.
حادثة GitHub توضح كيف يمكن لأداة تطوير واحدة مخترقة أن تتحول إلى بوابة للوصول إلى آلاف المستودعات البرمجية — وهو ما يجعل أمن سلسلة التوريد البرمجية أحد أكبر التحديات أمام فرق التطوير الحديثة.
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
أكدت GitHub في مايو 2026 أن إضافة خبيثة في Visual Studio Code أصابت جهاز أحد الموظفين وسمحت للمهاجمين بالوصول إلى نحو 3800 مستودع داخلي للشركة.
أكدت GitHub في مايو 2026 أن إضافة خبيثة في Visual Studio Code أصابت جهاز أحد الموظفين وسمحت للمهاجمين بالوصول إلى نحو 3800 مستودع داخلي للشركة. الهجوم يُنسب إلى مجموعة TeamPCP، ويُعتقد أنه مرتبط بحملة سلسلة توريد برمجية أوسع تُعرف باسم "Mini Shai‑Hulud" تستهدف أدوات المطورين والمكتبات مفتوحة المصدر.
قالت GitHub إن التحقيق لم يجد دليلاً على تأثر مستودعات العملاء أو بيانات المؤسسات التي تستخدم المنصة، وأن الاختراق اقتصر على مستودعات الشركة الداخلية.