في تطور خطير يعكس هشاشة سلاسل التوريد البرمجية، تعرضت أداة Trivy مفتوحة المصدر، والمستخدمة على نطاق واسع لفحص الثغرات الأمنية في الحاويات، لاختراق جديد هو الثاني خلال شهر واحد فقط. هذا الهجوم استهدف بشكل مباشر مستودعات GitHub Actions المرتبطة بالأداة، مما أدى إلى تسميم 75 وسمًا (Tags) وتحويلها إلى وسيلة لنشر برمجيات خبيثة قادرة على سرقة أسرار بيئات التطوير المستمرة (CI/CD).
تفاصيل الهجوم على GitHub Actions
وفقًا للباحث الأمني في شركة Socket، فيليب بوركاردت، قام المهاجمون بعملية Force Push لـ 75 وسمًا في مستودع aquasecurity/trivy-action، وهو المستودع الرسمي لتشغيل فحوصات Trivy داخل خطوط CI/CD. هذه الوسوم المعدلة تضمنت حمولة خبيثة تعمل كـ Infostealer، حيث يتم تنفيذها داخل بيئات GitHub Actions بهدف استخراج بيانات حساسة مثل مفاتيح SSH، بيانات اعتماد الخدمات السحابية، قواعد البيانات، إعدادات Docker، رموز Kubernetes، وحتى محافظ العملات الرقمية.
خلفية الحوادث السابقة وسلسلة الاختراقات
هذا الاختراق يأتي بعد حادثة سابقة في فبراير ومطلع مارس 2026، حين استغل بوت آلي يُعرف باسم hackerbot-claw ثغرة فيآلية pull_request_target للحصول على رمز وصول شخصي (PAT)، مما مكنه من السيطرة على مستودع Trivy، حذف إصدارات، ودفع نسخ خبيثة من إضافة VS Code إلى منصة Open VSX. ورغم محاولات Aqua Security لاحتواء الحادثة عبر تدوير الرموز السرية، إلا أن الإجراءات لم تكن كاملة، ما سمح للمهاجمين بالاستفادة من بيانات اعتماد جديدة.
آلية عمل البرمجية الخبيثة
الحمولة الخبيثة تعمل عبر ثلاث مراحل أساسية:
- جمع المتغيرات البيئية وبيانات الاعتماد من الذاكرة ونظام الملفات.
- تشفير البيانات المسروقة.
- إرسالها إلى خادم يتحكم فيه المهاجمون عبر نطاق scan.aquasecurtiy[.]org.
وفي حال فشل عملية الإرسال، يتم استغلال حساب GitHub الخاص بالضحية لإنشاء مستودع عام باسم tpcp-docs وتخزين البيانات المسروقة داخله باستخدام رمز PAT الملتقط.
هوية المهاجمين وتداعيات الهجوم
تشير الأدلة إلى أن مجموعة TeamPCP، المعروفة أيضًا بأسماء مستعارة مثل DeadCatx3 وCipherForce، قد تكون وراء الهجوم. هذه المجموعة متخصصة في استهداف البنى التحتية السحابية الحديثة بهدف سرقة البيانات وابتزاز المؤسسات، مع تركيز ملحوظ على مفاتيح Solana ومحافظ العملات الرقمية. ورغم احتمال أن يكون هذا التوقيع مجرد “علم زائف”، إلا أن التشابه التقني مع أدوات المجموعة السابقة يجعل فرضية تورطها واقعية.
من جهة أخرى، حذرت شركة Wiz من أن الهجوم أدى إلى تداعيات متسلسلة، حيث استغل المهاجمون البيانات المسروقة لاختراق حزم npm ودفع نسخ خبيثة تحتوي على دودة ذاتية الانتشار.
توصيات الحماية للمطورين
أوصت Aqua Security المستخدمين بالتأكد من استخدام الإصدارات الآمنة التالية:
- trivy 0.69.3
- trivy-action 0.35.0
- setup-trivy 0.2.6
كما شددت على ضرورة تدوير جميع الأسرار في خطوط CI/CD فورًا إذا كان هناك شك في استخدام نسخ مخترقة، وحجب النطاقات وعناوين IP المرتبطة بالهجوم، إضافة إلى التحقق من وجود مستودعات مشبوهة مثل “tpcp-docs” داخل حسابات GitHub. وأكد الباحثون أن تثبيت GitHub Actions على SHA كامل بدلاً من الوسوم هو إجراء وقائي أساسي، إذ يمكن تحريك الوسوم للإشارة إلى نسخ خبيثة كما حدث في هذه الواقعة.
