كشفت تقارير أمنية أن مجموعة TeamPCP، المعروفة بهجماتها على سلاسل التوريد السحابية، تمكنت من اختراق اثنين من GitHub Actions التابعة لشركة Checkmarx، وهما:
- checkmarx/ast-github-action
- checkmarx/kics-github-action
الاختراق جاء بعد أيام قليلة من حادثة مشابهة استهدفت أداة Trivy الخاصة بـ Aqua Security، والتي تم تسجيلها تحت المعرف CVE-2026-33634 بدرجة خطورة 9.4. ويبدو أن المهاجمين استغلوا بيانات اعتماد مسروقة من حادثة Trivy لتسميم إجراءات إضافية في مستودعات Checkmarx.
طبيعة البرمجية الخبيثة وآلية العمل
البرمجية المسماة TeamPCP Cloud Stealer صُممت لسرقة بيانات اعتماد حساسة تشمل:
- مفاتيح SSH وبيانات Git.
- بيانات خدمات سحابية مثل AWS، Google Cloud، وMicrosoft Azure.
- بيانات Kubernetes وDocker وملفات البيئة (.env).
- قواعد بيانات، محافظ العملات الرقمية، وروابط Webhook الخاصة بـ Slack وDiscord.
المهاجمون قاموا بفرض دفع علامات (tags) إلى التزامات خبيثة تحتوي على ملف setup.sh، حيث يتم استخراج البيانات المسروقة إلى نطاق checkmarx[.]zone في صورة أرشيف مشفر باسم tpcp.tar.gz. وفي حال فشل عملية الاستخراج، يتم إنشاء مستودع احتياطي باسم docs-tpcp باستخدام GITHUB_TOKEN الخاص بالضحية.
توسع الهجوم عبر سلاسل التوريد
الخطورة تكمن في أن البرمجية تستخرج رموز الوصول الشخصية (PATs) من ذاكرة أنظمة CI، مما يسمح باستخدامها لدفع شيفرات خبيثة إلى مستودعات أخرى مرتبطة بنفس الإجراءات. هذا يفتح الباب أمام اختراق متسلسل لسلاسل التوريد، حيث يتم تسميم إجراءات إضافية باستخدام بيانات اعتماد مسروقة من إجراءات سابقة.
شركة Wiz أوضحت أن الهجوم تم عبر اختراق حساب خدمة باسم cx-plugins-releases، حيث نشر المهاجمون نسخاً خبيثة من إضافات ast-results وcx-dev-assist على منصة Open VSX، بينما بقيت نسخ VS Code Marketplace آمنة.
إجراءات التخفيف الموصى بها
لتقليل المخاطر، نصح الخبراء المؤسسات المتأثرة باتباع الخطوات التالية:
- تدوير جميع الرموز والبيانات السرية التي كانت متاحة خلال فترة الاختراق.
- مراجعة سجلات GitHub Actions بحثاً عن إشارات إلى tpcp.tar.gz أو نطاقات مشبوهة مثل checkmarx[.]zone.
- البحث عن مستودعات باسم tpcp-docs أو docs-tpcp داخل المؤسسات.
- تثبيت GitHub Actions على معرفات الالتزام (commit SHAs) بدلاً من العلامات (tags).
- مراقبة الاتصالات الصادرة من أنظمة CI إلى نطاقات غير مألوفة.
- تقييد خدمة Instance Metadata Service (IMDS) باستخدام الإصدار الثاني IMDSv2.
رد Checkmarx وتداعيات أوسع
أكدت شركة Checkmarx أنها لم ترصد أي تأثير مباشر على بيانات العملاء أو بيئات الإنتاج، مشيرة إلى أنها أصدرت نسخاً جديدة من الإضافات المتأثرة. وأوضحت أن المؤسسات التي قامت بتنزيل الإضافات الخبيثة يوم 23 مارس 2026 بين الساعة 02:53 و15:41 بتوقيت UTC هي فقط المعرضة للخطر.
في الأيام التالية، رُصدت أنشطة إضافية لمجموعة TeamPCP، منها نشر صور Docker خبيثة لأداة Trivy، والاستيلاء على مستودعات داخلية لشركة Aqua Security، إضافة إلى استهداف عنيف لعناقيد Kubernetes عبر سكربت خبيث يمسح الأجهزة بالكامل عند اكتشاف إعدادات مرتبطة بالمنطقة الزمنية الإيرانية، ما يعكس تصعيداً خطيراً في أسلوب عمل المجموعة.
