حملة تصيد احتيالي عبر GitHub وJira تتجاوز بوابات أمان البريد الإلكتروني

حملة تصيد احتيالي عبر GitHub وJira جديدة تنجح في تجاوز بوابات أمان البريد الإلكتروني الحديثة من خلال اختطاف البنية التحتية الشرعية للإشعارات في منصات العمل الموثوقة. وفقاً لباحثين في شركة Cisco Talos، يستغل المهاجمون الميزات المدمجة لتقديم حمولات ضارة بختم موافقة مشفر يبطل بروتوكولات المصادقة القياسية مثل SPF وDKIM وDMARC. بالنسبة لمسؤولي تكنولوجيا المعلومات وموظفي الشركات، يعني هذا أن رسائل البريد العشوائي وروابط التصيد المقنعة للغاية تصل مباشرة إلى صناديق البريد الوارد الأساسية دون إثارة أي علامات أمنية.

من خلال فصل نيتهم الخبيثة عن بنيتهم التحتية التقنية الخاصة، يقوم مجرمو الإنترنت بتسليح الأدوات ذاتها التي يعتمد عليها المطورون ومديرو المشاريع يومياً. ونظراً لأن رسائل البريد الإلكتروني تُرسل مباشرة من خوادم منصة GitHub وشركة Atlassian، فإنها تلبي جميع متطلبات مصادقة البريد الإلكتروني القياسية. يتيح ذلك للمهاجمين تقديم محتوى تصيد احتيالي نادراً ما تكون بوابات الأمان مهيأة للتصدي له.

في منصة GitHub، يتلاعب المهاجمون بنظام إشعارات نشاط المستودعات (Repositories) لتقديم حمولاتهم. عندما يدفع المستخدم التزاماً (Commit) إلى مشروع حالي، يُنشئ النظام تلقائياً إشعاراً عبر البريد الإلكتروني لجميع المتعاونين. ونظراً لأن المحتوى يتم إنشاؤه بواسطة نظام المنصة نفسه، فإنه يتجنب العلامات الأمنية التقليدية بسهولة.

يستغل المهاجمون حقلي النص المتاحين أثناء هذه العملية: الملخص القصير والوصف الطويل. يقومون بصياغة رسالة مقنعة وجاذبة للانتباه في الملخص القصير الذي يظهر أولاً في البريد الإلكتروني. بينما يتم إخفاء المحتوى الاحتيالي الرئيسي، مثل تفاصيل الفواتير المزيفة أو روابط التصيد، داخل الوصف الطويل.

أشار باحثو شركة Cisco Talos إلى أن هذه الطريقة شهدت اعتماداً كبيراً بين مجرمي الإنترنت. في أحد أيام الذروة المرصودة، ارتبطت نسبة 2.89% من جميع رسائل البريد الإلكتروني المرسلة من منصة GitHub بهذا النوع المحدد من الإساءة.

يعتمد استغلال نظام Jira على ميزة دعوة العملاء (Invite Customers) بدلاً من نشاط المستودعات. يسجل المهاجمون حساباً جديداً وينشئون مشروعاً لإدارة الخدمات (Service Management) باسم يبدو شرعياً. بعد ذلك، يقومون بحقن محتواهم الضار، مثل التنبيهات الأمنية المزيفة، في حقول رسالة الترحيب أو وصف المشروع.

باستخدام أداة الدعوة المدمجة، يدخل المهاجمون عناوين البريد الإلكتروني للضحايا. تقوم الواجهة الخلفية لشركة Atlassian بتجميع البريد الإلكتروني تلقائياً، وحقن نص المهاجم في قالبها الموثوق والموقع تشفيرياً. النتيجة هي إشعار مكتب خدمات (Service Desk) منسق باحترافية ومكتمل بالعلامة التجارية لشركة Atlassian.

نظراً لأن الرسالة الخبيثة تُرسل داخل قوالب شركة Atlassian الخاصة، فمن غير المرجح أن يتم وضع علامة عليها بواسطة حلول أمان البريد الإلكتروني. علاوة على ذلك، فإن تنبيهات نظام Jira متوقعة في بيئات الشركات ونادراً ما يتم حظرها بواسطة السياسات الداخلية.

نظراً لأن هذه الهجمات تتجاوز بوابات البريد الإلكتروني التقليدية، يجب على المؤسسات تكييف استراتيجياتها الدفاعية لاكتشاف الحمولات الضارة المخفية داخل حركة مرور البرمجيات كخدمة (SaaS) الشرعية.

1. تدريب الموظفين على السياق: توجيه فرق العمل للتحقق من الروابط الفعلية وسياق التزامات منصة GitHub أو دعوات نظام Jira، حتى لو كان عنوان المرسل شرعياً.
2. مراقبة أسماء المشاريع غير المعتادة: يجب على فرق الأمان البحث عن دعوات مشاريع غير متوقعة في نظام Jira أو إضافات لمستودعات منصة GitHub من مستخدمين خارجيين غير معروفين.
3. تنفيذ تصفية صارمة للروابط: نظراً لأن البريد الإلكتروني نفسه يتجاوز معايير SPF وDKIM، يجب أن تقوم أنظمة حماية النقاط الطرفية وبوابات الويب بفحص وحظر عناوين URL الوجهة الموجودة داخل نص الرسالة بشراسة.

يسلط تكتيك تصيد احتيالي عبر GitHub وJira الضوء على نقطة عمياء حرجة في الأمن السيبراني الحديث: الاعتماد المفرط على سمعة النطاق (Domain Reputation). عندما تثق بوابات الأمان بشكل أعمى في البنية التحتية لعمالقة التكنولوجيا، سيتجه المهاجمون بطبيعة الحال إلى استخدام تلك المنصات كآليات توصيل. حقيقة أن ما يقرب من نسبة 3% من حركة البريد الإلكتروني لمنصة GitHub في يوم ذروة كانت ضارة هي إحصائية صادمة تثبت كفاءة هذه الطريقة.

للمضي قدماً، ستحتاج الشركات المزودة للخدمات مثل شركة Atlassian وشركة Microsoft إلى تنفيذ فحص داخلي أكثر صرامة للمحتوى للإشعارات الصادرة، بدلاً من الاعتماد فقط على بوابة البريد الإلكتروني للمستلم لاكتشاف التهديد. حتى ذلك الحين، يجب تطبيق مبادئ نموذج انعدام الثقة (Zero Trust) ليس فقط على الشبكات، ولكن على محتوى كل بريد إلكتروني، بغض النظر عن مصدره.