اختراق Grafana عبر رمز GitHub مسروق: مجموعة Coinbase Cartel تبتز دون تشفير

في 15 مايو 2026، أعلنت مجموعة Coinbase Cartel — المرتبطة بشبكات ShinyHunters وScattered Spider وLapsus$ — عن اختراق Grafana Labs، الشركة المطوّرة لأشهر منصات تصوير البيانات مفتوحة المصدر. المهاجمون لم يستخدموا برمجيات فدية تقليدية، بل سرقوا الكود المصدري بالكامل من مستودعات GitHub الخاصة وطالبوا بفدية مقابل عدم تسريبه — نموذج ابتزاز يتصاعد بسرعة ويهدد كل مؤسسة تعتمد على مستودعات كود خاصة.

كيف وقع الاختراق: رمز وصول واحد يكفي

بدأ الهجوم بسرقة رمز وصول (Access Token) يمنح صلاحيات القراءة على بيئة GitHub الخاصة بـ Grafana Labs. بمجرد حصول المهاجمين على هذا الرمز، تمكنوا من تحميل الكود المصدري الكامل لمنصة Grafana من المستودعات الخاصة. لم يحتاجوا إلى اختراق خوادم الإنتاج أو استغلال ثغرات معقدة — رمز وصول واحد مُسرَّب كان كافياً لتنفيذ العملية بالكامل.

أكدت Grafana Labs أن الاختراق اقتصر على بيئة GitHub فقط، وأن أنظمة العملاء وبيانات الإنتاج لم تتأثر. لكن حقيقة أن كوداً مصدرياً كاملاً لمنصة تُستخدم في آلاف المؤسسات حول العالم أصبح في يد مجموعة إجرامية يفتح الباب أمام اكتشاف ثغرات صفرية واستغلالها لاحقاً.

Coinbase Cartel: ابتزاز بلا تشفير

تختلف مجموعة Coinbase Cartel عن مجموعات الفدية التقليدية مثل LockBit أو BlackCat في أنها لا تستخدم برمجيات تشفير الملفات إطلاقاً. بدلاً من ذلك، يعتمد نموذجها على سرقة البيانات الحساسة — الكود المصدري، قواعد البيانات، الوثائق الداخلية — ثم التهديد بنشرها علناً ما لم تُدفع الفدية. هذا الأسلوب المعروف بـ "الابتزاز بدون تشفير" (Extortion-Only) يتزايد بشكل ملحوظ منذ 2025.

المجموعة نشطة منذ سبتمبر 2025 وتربطها صلات بشبكات ShinyHunters وScattered Spider — وهي مجموعات اشتُهرت باختراق Twilio وMailchimp وCoinbase سابقاً عبر هندسة اجتماعية متقدمة واستهداف أدوات المطورين ومنصات CI/CD.

رفض الفدية: قرار Grafana والدروس المستفادة

اتخذت Grafana Labs قراراً بعدم دفع الفدية، مستندة إلى توصيات مكتب التحقيقات الفيدرالي FBI التي تؤكد أن الدفع لا يضمن حذف البيانات المسروقة ويُشجّع المهاجمين على تكرار هجماتهم. هذا الموقف يعكس نضجاً في إدارة الحوادث، لكنه يتطلب أيضاً استعداداً مسبقاً: خطة استجابة محكمة، تواصل شفاف مع العملاء، ومراجعة شاملة لجميع الأسرار (Secrets) والرموز المرتبطة بالبيئة المُخترقة.

الدرس الأبرز هنا ليس في الاختراق ذاته، بل في بساطة نقطة الدخول: رمز وصول واحد مُسرَّب — ربما من بيئة تطوير محلية، أو من ملف تكوين مُلتزم خطأً في مستودع عام، أو عبر هندسة اجتماعية لمطوّر — كان كافياً لتحميل كامل الملكية الفكرية البرمجية للشركة.

التأثير على المؤسسات المالية السعودية

تستخدم كثير من المؤسسات المالية في المملكة العربية السعودية منصة Grafana لمراقبة البنية التحتية التقنية ولوحات معلومات الأداء. تسريب الكود المصدري يعني احتمال اكتشاف ثغرات صفرية في النسخ المُثبتة محلياً (On-Premises)، مما يُضيف بُعداً جديداً لمخاطر سلسلة الإمداد البرمجية التي يُلزم إطار SAMA CSCC بإدارتها.

يتطلب معيار SAMA CSCC في نطاق "إدارة مخاطر الطرف الثالث" من المؤسسات المالية تقييم المخاطر السيبرانية لجميع مزودي البرمجيات والخدمات، بما في ذلك المنصات مفتوحة المصدر. كما يُلزم إطار NCA ECC — ولا سيما التحديث NCNICC-1:2025 الذي وسّع نطاق الامتثال ليشمل جميع شركات القطاع الخاص — بتطبيق ضوابط حماية الكود المصدري وإدارة الأسرار (Secrets Management) كجزء من متطلبات أمن التطبيقات.

نظام حماية البيانات الشخصية PDPL يُضيف طبقة إضافية: إذا كانت مستودعات الكود تحتوي على معلومات تكوين تتضمن بيانات اتصال بقواعد بيانات عملاء، فإن تسريبها يُعد حادثة بيانات شخصية تستوجب الإبلاغ.

التوصيات والخطوات العملية

1. جرد شامل لرموز الوصول: نفّذ مراجعة فورية لجميع Access Tokens وPersonal Access Tokens وDeploy Keys في بيئات GitHub وGitLab وBitbucket. أبطل كل رمز لا يُستخدم فعلياً، وطبّق مبدأ أقل الصلاحيات (Least Privilege) على الباقي مع تحديد صلاحية زمنية لا تتجاوز 90 يوماً.
2. فحص تسريب الأسرار في المستودعات: استخدم أدوات مثل GitHub Secret Scanning أو TruffleHog أو GitLeaks لفحص جميع المستودعات — بما فيها تاريخ الالتزامات (Git History) — بحثاً عن مفاتيح API ورموز وصول وكلمات مرور مُلتزمة عن طريق الخطأ.
3. تفعيل المصادقة متعددة العوامل MFA: فرض MFA على جميع حسابات المطورين في منصات إدارة الكود دون استثناء، مع تفضيل مفاتيح الأمان المادية (FIDO2/WebAuthn) على رموز SMS.
4. مراقبة نشاط المستودعات: فعّل تسجيل التدقيق (Audit Logging) على مستوى المؤسسة في GitHub/GitLab، وأنشئ تنبيهات فورية لأي عملية استنساخ (Clone) جماعية أو وصول من عناوين IP غير معروفة أو تحميل مستودعات كاملة.
5. تحديث خطة الاستجابة للحوادث: أضف سيناريو "تسريب الكود المصدري" إلى خطة الاستجابة للحوادث، بما يشمل: إبطال جميع الأسرار المرتبطة، إخطار العملاء المتأثرين، تقييم الثغرات المحتملة في الكود المُسرَّب، والتنسيق مع الجهات التنظيمية وفق متطلبات SAMA وNCA.
6. تقييم مخاطر البرمجيات مفتوحة المصدر: أنشئ سجلاً (Software Bill of Materials - SBOM) لجميع المكتبات والمنصات مفتوحة المصدر المُستخدمة، وراقب نشرات الأمان الخاصة بها — خاصة بعد حوادث تسريب الكود كهذه التي قد تُسفر عن ثغرات صفرية مكتشفة من الكود المُسرَّب.

الخلاصة

اختراق Grafana يُجسّد التحول في مشهد التهديدات: لم تعد الفدية تعني بالضرورة تشفير الملفات، بل أصبحت سرقة البيانات والابتزاز بنشرها النموذج السائد. رمز وصول واحد مُسرَّب كان كافياً لتحميل كامل الكود المصدري لمنصة تخدم ملايين المستخدمين. المؤسسات المالية السعودية التي تستخدم Grafana أو أي منصة مفتوحة المصدر مماثلة يجب أن تُعامل هذا الحادث كتنبيه عاجل لمراجعة إدارة الأسرار وأمن سلسلة الإمداد البرمجية.

هل مؤسستك مستعدة لمواجهة هجمات الابتزاز بدون تشفير؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC وتقييم أمن سلسلة الإمداد البرمجية لمؤسستك.