اختراق بيتواردن CLI: تحذير من سرقة البيانات والرموز السرية

تعرضت أداة بيتواردن CLI لاختراق أمني خطير يهدد بسرقة البيانات الحساسة والرموز السرية للمستخدمين، وفقاً لما تابعه فريق تيكبامين مؤخراً في حملة استهداف واسعة.

شهدت الساحة التقنية اكتشاف حملة خبيثة استهدفت سلاسل التوريد الخاصة بأداة بيتواردن (Bitwarden CLI)، وهي أداة سطر الأوامر المستخدمة لإدارة خزائن كلمات المرور. هذا الاختراق ليس مجرد ثغرة عادية، بل هو جزء من حملة منظمة ومستمرة تستهدف المطورين والشركات التي تعتمد على أدوات الأتمتة والبرمجة.

ما هي النسخة المصابة من أداة بيتواردن CLI؟

وفقاً للتحليلات التقنية التي رصدها تيكبامين، فإن الإصابة طالت نسخة محددة من الأداة، حيث تم حقن كود برمجى خبيث داخل ملفات الحزمة الرسمية. إليكم تفاصيل النسخة المتضررة:

• رقم الإصدار: @bitwarden/cli@2026.4.0
• الملف المصاب: تم العثور على الكود الخبيث داخل ملف يحمل الاسم bw1.js
• طريقة الاختراق: استغلال ثغرة في إجراءات جيتهاب (GitHub Actions) ضمن خط الإنتاج (CI/CD) الخاص بالأداة.

ما هي البيانات التي يسرقها هجوم بيتواردن الأخير؟

أوضح خبراء الأمن الرقمي أن النسخة المارقة من الحزمة تقوم بعمليات تجسس وسرقة واسعة النطاق بمجرد تثبيتها أو تشغيلها. الأداة الخبيثة مصممة لجمع أثمن البيانات التي يمتلكها المطورون على أجهزتهم، وتشمل القائمة:

• رموز الوصول الخاصة بمنصة جيتهاب (GitHub) ومتجر إن بي إم (npm).
• مفاتيح التشفير والاتصال الآمن .ssh.
• ملفات البيئة الحساسة .env التي تحتوي غالباً على كلمات مرور قواعد البيانات.
• سجل أوامر الشاشة (Shell History) الذي قد يكشف عن معلومات سرية.
• أسرار السحابة والرموز الخاصة ببيئات التطوير المختلفة.

بعد جمع هذه البيانات، يقوم البرنامج الخبيث بتسريبها إلى نطاقات خاصة أو عبر إضافتها كالتزامات (Commits) سرية في مستودعات جيتهاب، مما يجعل من الصعب تتبع عملية التسريب بشكل فوري.

كيف تم استغلال جيتهاب في هذا الاختراق؟

يعتمد المهاجمون في هذه الحملة على أسلوب متطور يتمثل في سرقة رموز جيتهاب الخاصة بالمطورين الأساسيين للمشروع، ثم استخدامها لحقن سير عمل (Workflow) جديد وخبيث. هذا السير يقوم بالتقاط الأسرار المتاحة أثناء تشغيل عمليات البناء التلقائية، ويستخدم صلاحيات النشر لدفع النسخ المصابة إلى المستخدمين النهائيين.

أول اختراق من نوعه للنشر الموثوق

يشير الباحثون إلى أن هذا قد يكون الاختراق الأول من نوعه الذي يستهدف حزمة تستخدم نظام "النشر الموثوق" الخاص بـ npm، وهو نظام صُمم خصيصاً لتعزيز الأمان ومنع مثل هذه الهجمات، مما يرفع مستوى القلق في مجتمع المطورين حول كفاءة أنظمة الحماية الحالية.

من هي الجهة المسؤولة عن اختراق Bitwarden CLI؟

تحوم الشكوك حول مجموعة من القراصنة تُعرف باسم TeamPCP، وهي المجموعة التي يُعتقد أنها تقف وراء الهجمات الأخيرة التي استهدفت حملة تشيك ماركس (Checkmarx). وقد لوحظ أن حسابات هذه المجموعة على منصات التواصل الاجتماعي قد تم تعليقها مؤخراً بسبب انتهاك القواعد، مما يعزز فرضية تورطهم في أنشطة تخريبية.

كيف تحمي بياناتك من هجمات سلاسل التوريد؟

تؤكد تيكبامين على ضرورة اتباع ممارسات أمنية صارمة لتجنب الوقوع ضحية لمثل هذه الاختراقات، خاصة للمطورين والتقنيين:

• التحقق من الإصدارات: تأكد دائماً من رقم الإصدار الذي تقوم بتثبيته وتجنب النسخة 2026.4.0 من بيتواردن CLI.
• مراقبة الصلاحيات: قم بمراجعة الرموز (Tokens) الممنوحة لتطبيقات جيتهاب وألغِ أي صلاحيات غير ضرورية.
• تحديث الأداة: إذا كنت تستخدم النسخة المصابة، يجب عليك تغيير جميع كلمات المرور والمفاتيح المسربة فوراً وتحديث الأداة إلى نسخة آمنة.
• استخدام المصادقة الثنائية: فعل خاصية المصادقة الثنائية (2FA) على جميع حساباتك البرمجية (GitHub, npm, Cloud).

على الرغم من إزالة النسخة المصابة من متجر npm، إلا أن خطر الهجوم لا يزال قائماً لمن قاموا بتحميلها مسبقاً، لذا فإن الفحص الفوري لبيئة العمل هو خطوة لا غنى عنها لضمان الأمن الرقمي.