في تطور خطير يسلط الضوء على هشاشة سلاسل توريد البرمجيات، كشف باحثون في الأمن السيبراني عن حملة اختراق واسعة استهدفت أدوات شركة Checkmarx عبر صور Docker وإضافات Visual Studio Code، ما أدى إلى إدخال برمجيات خبيثة قادرة على سرقة بيانات الاعتماد ونشرها في بيئات التطوير السحابية.
صور Docker المسمومة وخطر تسريب البيانات
أعلنت شركة Socket المتخصصة في أمن سلسلة التوريد أن مهاجمين مجهولين تمكنوا من رفع صور خبيثة إلى المستودع الرسمي على Docker Hub .
هذه الصور تضمنت نسخة معدلة من أداة KICS، أضيفت إليها وظائف لجمع البيانات الحساسة وتشفيرها وإرسالها إلى خوادم خارجية. ويشكل ذلك تهديدًا مباشرًا للفرق التي تعتمد على KICS لفحص ملفات البنية التحتية كرمز (Infrastructure-as-Code)، حيث قد تحتوي هذه الملفات على مفاتيح وصول وأسرار تكوين بالغة الحساسية.
إضافات VS Code وتحايل عبر بروتوكول MCP
التحقيقات أظهرت أن الهجوم لم يقتصر على صور Docker، بل امتد إلى إضافات Visual Studio Code الخاصة بـ Checkmarx. بعض الإصدارات التي تضمنت شيفرة خبيثة تقوم بتحميل ملف باسم mcpAddon.js من مستودع GitHub. هذا الملف الضخم (10 ميغابايت تقريبًا) صُمم ليبدو كميزة مشروعة مرتبطة ببروتوكول MCP، لكنه في الواقع أداة لسرقة بيانات الاعتماد من مطوري البرمجيات والسحابات مثل AWS وAzure وGoogle Cloud، إضافة إلى مفاتيح SSH وملفات NPM.
سلسلة هجوم متعددة المراحل واستغلال GitHub Actions
الهجوم اتسم بتعقيد لافت، حيث استغل المهاجمون رموز وصول مسروقة من GitHub لإنشاء مستودعات عامة تحمل أسماء نمطية مثل “gesserit-melange-813″ و”atreides-heighliner-520”. هذه المستودعات استُخدمت لتخزين البيانات المسروقة بصيغة JSON، كما تم حقن ملفات GitHub Actions خبيثة داخل مشاريع الضحايا بهدف استخراج أسرار CI/CD عند تشغيلها تلقائيًا. بعد التنفيذ، تُحذف الفروع والملفات لإخفاء آثار الهجوم، ما يجعل اكتشافه أكثر صعوبة.
انتشار يشبه الديدان عبر نظام npm
في المرحلة الأخيرة، استغل المهاجمون بيانات اعتماد npm المسروقة لإعادة نشر أكثر من 250 حزمة برمجية مع شيفرة خبيثة، ما سمح بانتشار الهجوم بشكل يشبه الديدان داخل النظام البيئي لـ npm. هذا التكتيك يضاعف خطورة الحملة، إذ يحول بيئات التطوير المصابة إلى منصات لنشر البرمجيات الخبيثة بشكل متسلسل.
هوية المهاجمين ورد فعل Checkmarx
تشير الأدلة إلى أن مجموعة TeamPCP تقف وراء هذا الاختراق، وهي نفس المجموعة التي استهدفت Checkmarx في مارس 2026 عبر حقن برمجيات سرقة بيانات في GitHub Actions. وقد نشرت المجموعة تعليقًا ساخرًا على منصة X تؤكد فيه نجاح العملية. من جانبها، أعلنت Checkmarx أنها تحقق في الحادث، مؤكدة أن الإصدارات الآمنة هي تلك التي صدرت قبل التواريخ المشبوهة، وحثت عملاءها على إزالة الصور والإضافات المصابة، تدوير جميع بيانات الاعتماد، وحظر النطاقات المرتبطة بالخوادم الخبيثة.
