كشفت شركتا الأمن السيبراني JFrog وSocket عن اختراق أمني خطير طال واجهة سطر الأوامر الخاصة بمدير كلمات المرور الشهير Bitwarden، وذلك في إطار حملة هجوم سلسلة توريد نشطة ومستمرة تُنسب إلى جهة تهديد ترتبط باسم Checkmarx. ويُعدّ هذا الاختراق لافتاً من الناحية التقنية كونه استهدف أداة أمنية بالدرجة الأولى، مما يعني أن الجهة المهاجِمة استغلت ثقة المطورين بهذه الأداة تحديداً لشق طريقها نحو أسرار أكثر عمقاً في بيئاتهم التطويرية.
وبحسب ما أفادت به شركة أمان التطبيقات، فإن الإصدار المتضرر هو @bitwarden/cli@2026.4.0، وقد تضمن الكود الخبيث في ملف يحمل اسم “bw1.js” مدرج ضمن محتويات الحزمة. وتشير الأدلة إلى أن الهجوم استغل إجراء GitHub Action مخترقاً في خط أنابيب التكامل والنشر المستمر CI/CD الخاص بـ Bitwarden، وهو النمط ذاته الذي رُصد عبر مستودعات أخرى متضررة في هذه الحملة.
تفاصيل الهجوم: سلسلة عمليات ممنهجة لسرقة الأسرار
نشرت JFrog تفاصيل تقنية تُظهر أن الإصدار الخبيث صُمِّم لسرقة رموز GitHub ورموز npm وبيانات مفاتيح SSH ومتغيرات البيئة وسجلات الصدفة البرمجية Shell history وأسرار GitHub Actions والبيانات السحابية الحساسة، ثم تسريبها إلى نطاقات خاصة يتحكم فيها المهاجمون وكذلك في شكل commits إلى مستودعات GitHub.
آلية التنفيذ اعتمدت على خطاف preinstall hook، بحيث يُشغَّل الكود الخبيث تلقائياً فور تثبيت الحزمة دون الحاجة إلى أي تدخل من المستخدم. وقد استهدف سارق البيانات طيفاً واسعاً من أسرار المطورين شمل بيئات GitHub Actions وإعدادات أدوات الترميز بالذكاء الاصطناعي من بينها Claude وKiro وCursor وCodex CLI وAider. تُشفَّر البيانات المسروقة باستخدام معيار AES-256-GCM قبل تسريبها إلى النطاق audit.checkmarx[.]cx الذي ينتحل هوية شركة Checkmarx الأمنية المعروفة. وفي حال فشل هذا المسار، يلجأ البرنامج الخبيث إلى مستودع GitHub بديل.
والأخطر من ذلك أن الكود الخبيث يذهب أبعد من مجرد سرقة البيانات، إذ إن اكتشاف رموز GitHub يُحوّلها فوراً إلى أسلحة لحقن سير عمل Actions خبيثة في المستودعات واستخراج أسرار CI/CD. تحذر شركة StepSecurity من أن مطوراً واحداً ثبّت الإصدار المخترق يمكن أن يتحول إلى نقطة دخول لاختراق سلسلة توريد أوسع، إذ يحصل المهاجم على صلاحية حقن سير عمل دائمة في كل خط أنابيب CI/CD يمتد إليه رمز المطور.
مؤشر “شاي هولود”: الحلقة الثالثة من حملة ممتدة
عثرت شركة OX Security على نص يحمل العبارة “Shai-Hulud: The Third Coming” داخل الحزمة الخبيثة، وهو ما يُشير إلى أن هذا الهجوم ليس حادثة معزولة بل يُمثل المرحلة الثالثة من حملة هجوم سلسلة توريد كشف عنها العام الماضي. والاسم مستوحى من كائن خرافي في رواية “دون” العلمية الخيالية، وقد تبنّت الجهة المهاجِمة نظام تسمية من وحي هذه الرواية حتى في تسمية مستودعات GitHub التي تُنشئها تحت حسابات الضحايا بصيغة من كلمتين وثلاثة أرقام.
ولفت الباحث الأمني عدنان خان إلى أن هذه القضية تُمثل على الأرجح المرة الأولى التي تتعرض فيها حزمة تستخدم نشر npm الموثوق للاختراق. وتكتسب هذه النقطة أهمية بالغة لأن النشر الموثوق Trusted Publishing يُعدّ من أكثر الآليات أماناً في نظام npm البيئي، مما يعني أن المهاجمين تجاوزوا حاجزاً أمنياً يُعتقد عادةً أنه متين.
وأضاف موشيه سيمان توف بوستان، قائد فريق أبحاث الأمن في OX Security، أن الخطر يتصاعد بشكل ملحوظ كون البيانات المسرّبة تُنشر إلى مستودعات GitHub العامة، وهو ما لا ترصده أدوات الأمان عادةً لأنها لا تُصنّف إرسال البيانات إلى GitHub تهديداً، مشيراً إلى أن أي شخص يبحث في GitHub يمكنه العثور على هذه البيانات والوصول إليها، مما يعني أن الأسرار الحساسة لم تعد في يد جهة تهديد واحدة فحسب بل أصبحت مكشوفة أمام الجميع.
ويُلاحظ الباحثون تحولاً لافتاً في هذه المرحلة من الحملة، إذ صُمِّمت البرمجية الخبيثة للتوقف عن التنفيذ على الأنظمة التي تُطابق إعداداتها المنطقة الروسية، مما يُعقّد عملية نسب الهجوم ويُثير تساؤلات حول طبيعة الجهة المشغِّلة ودوافعها. وتُرجّح شركة Socket أن يكون ثمة جهة تشغيل مختلفة تستخدم البنية التحتية ذاتها، أو مجموعة منشقة ذات دوافع أيديولوجية أقوى.
بيتواردن تؤكد الحادثة وتؤكد سلامة بيانات المستخدمين
أصدرت Bitwarden بياناً رسمياً أكدت فيه أن فريق الأمن لديها حدّد الحزمة الخبيثة واحتواها في فترة وجيزة. وأوضحت الشركة أن النافذة الزمنية للهجوم امتدت بين الساعة 5:57 مساءً و7:30 مساءً بالتوقيت الشرقي الأمريكي في 22 أبريل 2026، نافيةً أن تكون بيانات خزائن المستخدمين قد تأثرت أو تعرضت للخطر. وأشارت الشركة إلى أن المشكلة طالت آلية توزيع npm الخاصة بواجهة سطر الأوامر خلال تلك النافذة المحدودة فحسب، دون أن تمس سلامة قاعدة الكود الأصلية أو بيانات الخزائن المخزّنة. كما أُعلن عن إصدار CVE رسمي مرتبط بالإصدار 2026.4.0 من Bitwarden CLI في إطار متابعة هذا الحادث.
