ثغرة Checkmarx تهدد مطوري جينكينز.. هل حسابك في خطر؟

أكدت Checkmarx تعرض إضافة Jenkins AST لخرق أمني بواسطة مجموعة TeamPCP، مما يهدد بيانات المطورين وسلاسل التوريد البرمجية عبر إصدارات خبيثة ومزيفة.

ماذا حدث لإضافة Jenkins AST الخاصة بشركة Checkmarx؟

أعلنت شركة تشيكماركس للأمن السيبراني عن اكتشاف نسخة معدلة وخبيثة من إضافة Jenkins AST تم نشرها على متجر جينكينز الرسمي. وحسب ما رصده فريق تيكبامين، فإن هذا الهجوم يمثل حلقة جديدة في سلسلة استهداف المطورين لسرقة بياناتهم الحساسة.

دعت الشركة كافة المستخدمين لضرورة التأكد من استخدام الإصدارات الآمنة لتجنب الوقوع ضحية لهذا الاختراق. وأوضحت أن الإصدارات المتأثرة قد تؤدي إلى تسريب مفاتيح الوصول والبيانات الحساسة للمشاريع البرمجية الكبرى.

كيف نفذت مجموعة TeamPCP هجومها الأخير على تشيكماركس؟

تمكنت مجموعة TeamPCP من الوصول غير المصرح به إلى مستودع الإضافة على منصة GitHub. ولم يكتفِ المهاجمون بتعديل الكود البرمجي، بل قاموا بتغيير اسم المستودع إلى عبارات استفزازية تشير إلى اختراق النظام بالكامل وفشل الشركة في حماية بياناتها.

تضمن الهجوم الخطوات التصعيدية التالية:

• الوصول إلى مستودع GitHub الخاص بإضافة جينكينز.
• تعديل وصف المشروع ليشير صراحة إلى أن الشركة فشلت في تدوير مفاتيح السرية مرة أخرى.
• نشر إصدارات ملغمة ببرمجيات خبيثة تستهدف سرقة بيانات اعتماد المطورين.

سجل الهجمات السابقة لمجموعة TeamPCP وتأثيرها

وفقاً لتقرير تيكبامين، فإن هذا الهجوم ليس الأول من نوعه الذي يستهدف هذه الشركة تحديداً. فقد ارتبط اسم المجموعة بسلسلة من الاختراقات الناجحة خلال الأشهر الماضية، مما يثير تساؤلات جدية حول مدى فعالية الإجراءات الأمنية المتخذة بعد الحوادث السابقة.

• اختراق صورة Docker الخاصة ببرمجية KICS الشهيرة.
• استهداف إضافتين لمنصة VS Code لسرقة بيانات المستخدمين.
• التلاعب بمهام عمل GitHub Actions لنشر برمجيات سرقة البيانات.
• الوصول إلى حزمة Bitwarden CLI npm لنشر أدوات تجسس مشابهة.

لماذا تكرر اختراق Checkmarx في وقت قصير جداً؟

يرى الخبراء الأمنيون في SOCRadar أن عودة TeamPCP لاختراق أنظمة تشيكماركس بعد أسابيع قليلة فقط من الهجوم السابق يطرح احتمالين مقلقين للغاية.

الاحتمال الأول هو أن عملية المعالجة الأولية للاختراق السابق كانت غير مكتملة، ولم يتم تدوير كافة بيانات الاعتماد بشكل صحيح. أما الاحتمال الثاني فهو أن المجموعة احتفظت بموطئ قدم دائم (Foothold) داخل الأنظمة لم يتم اكتشافه خلال عملية الاستجابة للحوادث في مارس الماضي.

كيف يحمي المطورون أنفسهم من هجمات سلاسل التوريد؟

تعتبر هجمات سلاسل التوريد البرمجية من أخطر التهديدات الحالية لأنها تستغل الثقة المتأصلة في الأدوات والمتاجر الرسمية. ولتجنب هذه المخاطر، يجب على المطورين اتباع التوصيات التالية:

• تحديث الإضافات فوراً: التأكد من تثبيت الإصدار الأحدث والآمن (2.0.13-848.v76e89de8a_053) الذي أطلقته الشركة.
• مراقبة المستودعات: التدقيق المستمر في أي تغييرات غير معتادة في أسماء أو أوصاف الإضافات التي تعتمد عليها في مشروعك.
• تدوير الأسرار: تغيير كافة مفاتيح الوصول (API Keys) وكلمات المرور بشكل دوري وفوري عند سماع أنباء عن أي خرق أمني.

في الختام، يظهر هذا الحادث أن حتى كبرى شركات الأمن الرقمي ليست بمنأى عن الهجمات المنظمة، مما يتطلب يقظة مستمرة من المطورين والشركات لضمان سلامة البيئة البرمجية وحماية البيانات الحساسة من السرقة.