أصدر خبراء الأمن الرقمي تحذيراً عاجلاً بشأن اكتشاف برمجيات خبيثة تم زرعها داخل مستودعات دوكر (Docker) وإضافات فيجوال ستوديو كود التابعة لشركة تشيك ماركس (Checkmarx).
وفقاً لما تابعه فريق تيكبامين، فقد كشف تقرير أمني جديد عن تعرض سلسلة التوريد البرمجية لهجوم معقد استهدف أدوات تطوير مشهورة. وقد تمكن المهاجمون من اختراق مستودع الصور الرسمي لأداة KICS على منصة دوكر هب (Docker Hub)، وهو ما يمثل تهديداً مباشراً للمطورين الذين يعتمدون على هذه الأدوات لفحص أمن البنية التحتية البرمجية.
ما هي مخاطر صور دوكر الخبيثة في تشيك ماركس؟
أوضح التحليل التقني أن جهات تهديد غير معروفة تمكنت من استبدال وسوم (Tags) رسمية في مستودع Checkmarx/Kics بملفات ملوثة. تضمنت هذه الصور البرمجية الخبيثة تعديلات على الملفات الثنائية (Binary) لتمكين المهاجمين من جمع البيانات وتسريبها إلى خوادم خارجية.
تكمن الخطورة الكبرى في أن هذه الأداة تُستخدم أساساً لفحص ملفات "البنية التحتية كبرمجيات" (IaC)، والتي غالباً ما تحتوي على بيانات حساسة للغاية. وفيما يلي أبرز الوسوم التي تأثرت بهذا الاختراق:
- الوسم v2.1.20
- الوسم alpine
- الوسم الجديد v2.1.21 (وهو إصدار غير رسمي تم زرعه)
أشار تقرير تيكبامين إلى أن البرنامج الخبيث يمكنه إنشاء تقارير فحص غير مشفرة، ثم يقوم بتشفيرها وإرسالها إلى نقطة نهاية خارجية، مما يعرض المؤسسات لخطر تسريب كلمات المرور ومفاتيح الوصول السرية.
كيف تأثرت إضافات فيجوال ستوديو كود بهذا الهجوم؟
لم يتوقف الهجوم عند حدود منصة دوكر، بل امتد ليصل إلى المطورين الذين يستخدمون إضافات محررات الأكواد. تم اكتشاف كود خبيث داخل إصدارات معينة من إضافات مايكروسوفت فيجوال ستوديو كود (VS Code) المرتبطة بشركة تشيك ماركس.
تفاصيل الإصدارات المصابة
- الإصدار 1.17.0: احتوى على برمجيات خبيثة
- الإصدار 1.19.0: تم اكتشاف السلوك الخبيث فيه مجدداً
- بيئة التشغيل: تم استخدام Bun runtime لتحميل وتشغيل كود خارجي
يعتمد السلوك الخبيث في هذه الإضافات على روابط جيت هاب (GitHub) ثابتة لجلب وتشغيل ملفات جافا سكريبت إضافية دون الحصول على تأكيد من المستخدم أو التحقق من سلامة البيانات، مما يفتح باباً خلفياً للمهاجمين للتحكم في بيئة التطوير.
ما هي الخطوات الواجب اتباعها لحماية بياناتك؟
يجب على المؤسسات التي استخدمت صور KICS المتضررة لفحص تكوينات Terraform أو CloudFormation أو Kubernetes اتخاذ إجراءات فورية. يُعتبر أي سر أو مفتاح وصول تم الكشف عنه خلال عمليات الفحص تلك في حكم المخترق ويجب تغييره فوراً.
تشير الأدلة القوية في مجال الأمن الرقمي إلى أن هذا الحادث ليس مجرد واقعة معزولة على دوكر هب، بل هو جزء من اختراق أوسع لسلسلة التوريد أثر على قنوات توزيع متعددة تابعة لشركة تشيك ماركس. ينصح الخبراء دائماً بالتحقق من سلامة الصور البرمجية والاعتماد على نسخ موثقة ومحدثة من الأدوات البرمجية لضمان سلامة البيانات الحساسة.
