أكدت شركة Grafana Labs — المطورة لمنصة المراقبة مفتوحة المصدر الأكثر استخداماً في مراكز العمليات الأمنية (SOC) حول العالم — تعرّضها لاختراق أمني خطير أدى إلى سرقة كود المصدر الكامل من مستودعاتها على GitHub، وذلك بعد أن استغل المهاجمون ثغرة في إعدادات GitHub Actions ضمن أنبوب CI/CD الخاص بالشركة. مجموعة Coinbase Cartel المرتبطة بـ ShinyHunters و Scattered Spider أعلنت مسؤوليتها وطالبت بفدية رفضت Grafana دفعها.

كيف نُفّذ الهجوم: ثغرة Pwn Request في GitHub Actions

استهدف المهاجمون ملف workflow يُدعى pr-patch-check-event.yml في مستودع grafana/grafana العام. هذا الملف كان مُهيّأً للتشغيل عبر حدث pull_request_target — وهو مُحفّز معروف بخطورته الأمنية منذ عام 2021، إذ يمنح صلاحيات الكتابة والوصول إلى الأسرار (Secrets) بغض النظر عن مصدر Pull Request، حتى لو جاء من Fork خارجي.

قام المهاجم بإنشاء Fork للمستودع العام، ثم أرسل Pull Request يحمل اسم فرع مُصمّم بعناية لاستغلال ثغرة حقن أوامر (Script Injection) تُمكّنه من تنفيذ كود ضار داخل بيئة CI الموثوقة. عند تشغيل الـ Workflow، تمكّن المهاجم من استخراج مفاتيح GRAFANA_DELIVERY_BOT_APP_ID و GRAFANA_DELIVERY_BOT_APP_PEM المستخدمة لتوليد GitHub App Tokens ذات صلاحيات واسعة.

بعد الحصول على الرموز، دفع المهاجم workflow خبيثاً آخر لتسلسل وتشفير جميع الأسرار المتاحة، ثم سحبها كـ Artifacts. النتيجة: وصول كامل إلى المستودع العام وأربعة مستودعات خاصة إضافية داخل بيئة Grafana Labs على GitHub.

الابتزاز والاستجابة: Grafana ترفض الدفع

في 15 مايو 2026، أدرجت مجموعة Coinbase Cartel شركة Grafana على موقعها لتسريب البيانات، مطالبةً بفدية مقابل عدم نشر الكود المصدري المسروق. هذه المجموعة — المرتبطة بشبكات Scattered Spider و Lapsus$ — لا تستخدم برامج تشفير الملفات التقليدية، بل تعتمد على سرقة البيانات والابتزاز المباشر.

استجابت Grafana Labs بسرعة: أبطلت جميع بيانات الاعتماد المكشوفة، وأطلقت تحقيقاً جنائياً رقمياً شاملاً، وأكدت أن الاختراق اقتصر على مستودعات الكود ورموز الأتمتة فقط — دون المساس بأي بيانات عملاء أو أنظمة إنتاج أو معلومات شخصية. ورفضت الشركة دفع الفدية علناً.

حملة أوسع: 500 Pull Request خبيث بالذكاء الاصطناعي

اختراق Grafana ليس حادثة معزولة. كشف باحثو Wiz Research عن حملة منظمة بين مارس وأبريل 2026 استخدمت الذكاء الاصطناعي لتوليد أكثر من 500 Pull Request خبيث عبر مئات المستودعات، تستهدف نفس خطأ إعداد pull_request_target، ونجحت في استخراج أسرار من 50 مستودعاً على الأقل قبل اكتشافها.

كما وثّق باحثو Orca Security في 2025 استغلالاً ناجحاً لهذه الفئة من الثغرات ضد أنابيب CI/CD تابعة لشركات Fortune 500 ومشاريع مفتوحة المصدر رئيسية. هذا يعني أن أي مؤسسة تستخدم GitHub Actions مع إعدادات Workflow غير مُحكمة معرّضة لنفس الهجوم.

التأثير على المؤسسات المالية السعودية

Grafana تُستخدم على نطاق واسع في مراكز عمليات الأمن (SOC) ومنصات المراقبة لدى البنوك وشركات التأمين والتقنية المالية في المملكة. هذا الاختراق يثير تساؤلات جوهرية حول أمن سلسلة توريد البرمجيات في القطاع المالي السعودي:

إطار SAMA CSCC يُلزم المؤسسات المالية بتطبيق ضوابط صارمة على إدارة التغيير وأمن بيئات التطوير (Domain 3: Technology Risk Management)، بما في ذلك مراجعة أنابيب CI/CD وضمان عدم تسريب الأسرار عبر الأتمتة. كذلك يتطلب إطار NCA ECC ضوابط محددة لإدارة الأصول البرمجية وحماية سلسلة التوريد الرقمية. أما نظام حماية البيانات الشخصية PDPL فيفرض مسؤوليات إضافية عند استخدام أدوات مفتوحة المصدر تتعامل مع بيانات حساسة.

التوصيات والخطوات العملية لحماية أنابيب CI/CD

  1. تدقيق جميع Workflows المُهيّأة بحدث pull_request_target: راجع كل ملف GitHub Actions يستخدم هذا المُحفّز وتأكد من عدم تمرير أسرار إلى سياق يمكن الوصول إليه من Forks خارجية. استبدله بـ pull_request حيثما أمكن.
  2. تطبيق مبدأ الحد الأدنى من الصلاحيات على GitHub App Tokens: قيّد صلاحيات الرموز إلى المستودعات والعمليات المطلوبة فقط، ولا تمنح صلاحيات واسعة النطاق لرموز الأتمتة.
  3. استخدام أدوات فحص أسرار CI/CD: أدوات مثل StepSecurity Harden-Runner و GitGuardian و TruffleHog تكشف تسريب الأسرار في Workflows والـ Artifacts قبل وصولها للمهاجمين.
  4. فصل بيئات CI/CD عن بيئات الإنتاج: تأكد من أن بيانات اعتماد بيئة التطوير لا تمنح وصولاً إلى أنظمة الإنتاج أو بيانات العملاء.
  5. مراقبة نشاط Pull Requests من Forks خارجية: أنشئ تنبيهات لأي Pull Request قادم من Fork خارجي يُحفّز Workflows تحتوي على أسرار، مع مراجعة يدوية إلزامية قبل التنفيذ.
  6. إدراج أمن CI/CD ضمن نطاق اختبارات الاختراق الدورية: لا تقتصر على اختبار التطبيقات والشبكات — اجعل أنابيب التطوير والنشر جزءاً من نطاق تقييم الأمن السنوي المطلوب وفق SAMA CSCC.

الخلاصة

اختراق Grafana يكشف أن أنابيب CI/CD أصبحت هدفاً استراتيجياً للمهاجمين بنفس أهمية الخوادم والتطبيقات. Pull Request واحد من Fork خارجي كان كافياً لسرقة الكود المصدري الكامل لواحدة من أبرز منصات المراقبة في العالم. المؤسسات المالية السعودية التي تعتمد على DevOps و GitHub Actions تحتاج لمراجعة عاجلة لإعدادات Workflows وصلاحيات الرموز وأمن سلسلة التوريد البرمجية.

هل أنابيب CI/CD في مؤسستك آمنة؟ تواصل مع فريق فنترالينك لتقييم شامل لأمن DevSecOps وسلسلة التوريد البرمجية وفق متطلبات SAMA CSCC و NCA ECC.