كشفت الأبحاث الأمنية الحديثة عن هجوم خطير على سلاسل التوريد يستهدف أداة Trivy الشهيرة لفحص الثغرات الأمنية. حسب تيكبامين، يُعد هذا الهجوم واحداً من أخطر الهجمات التي تستهدف بيئات التطوير والنشر المستمر.
ما هو هجوم Trivy وكيف بدأ؟
بدأ الهجوم باختراق بيانات اعتماد لمشروع Trivy المفتوح المصدر الذي تطوره شركة Aqua Security. استخدم المهاجمون هذه البيانات لرفع نسخ خبيثة من الأداة على Docker Hub.
- النسخة الآمنة الأخيرة: 0.69.3
- النسخ الخبيثة: 0.69.4 و 0.69.5 و 0.69.6
- تمت إزالة النسخ الخبيثة من Docker Hub
وفقاً للباحث Philipp Burckhardt من شركة Socket، تم رفع النسخ 0.69.5 و 0.69.6 في 22 مارس دون إصدارات مقابلة على GitHub، وتحتوي على مؤشرات للاختراق مرتبطة ببرمجية TeamPCP الخبيثة.
ما هي CanisterWorm وكيف تنتشر؟
استغل المهاجمون البيانات المسروقة لتنفيذ هجمات لاحقة على عشرات حزم npm، حيث وزعوا دودة تنتشر ذاتياً تُعرف باسم CanisterWorm. هذه الدودة قادرة على:
- النسخ الذاتي والانتشار عبر الأنظمة
- سرقة بيانات الاعتماد الحساسة
- التأثير على بيئات Kubernetes
التأثير على مشروعات Aqua Security
تم رصد هجمات إضافية استهدفت 44 مستودعاً داخلياً مرتبطاً بحساب GitHub "aquasec-com". قام المهاجمون بتغيير أسماء المستودعات بإضافة بادئة "tpcp-docs-" وتعيين وصف "TeamPCP Owns Aqua Security".
يُذكر أن حساب "aquasec-com" يختلف عن الحساب الرئيسي "aquasecurity" الذي يستضيف أداة Trivy. المستودعات المخترقة تحتوي على كود ملكي يشمل:
- كود مصدري لـ Tracee
- فروع داخلية لـ Trivy
- خطوط أنابيب CI/CD
- مشغلي Kubernetes
- قواعد بيانات الفريق
كيف تم تنفيذ الهجوم؟
تشير التحليلات الجنائية إلى أن المهاجمين استغلوا حساب خدمة "Argon-DevOps-Mgt" المخترق. تم تعديل جميع المستودعات خلال دقيقتين فقط بين الساعة 20:31:07 و20:32:26 UTC في 22 مارس 2026.
وفقاً للباحث الأمني Paul McCarty، يربط هذا الحساب بين مؤسستي GitHub المختلفتين، مما يمنح المهاجمين صلاحيات الكتابة والإدارة في كلتا المؤسستين من خلال رمز وصول واحد مسروق.
التدابير الوقائية للمطورين
ينصح الخبراء باتخاذ عدة تدابير للحماية من此类 الهجمات:
- التحقق من سلامة الصور من Docker Hub
- استخدام النسخ الموثقة فقط من الأدوات
- تفعيل المصادقة متعددة العوامل
- مراقبة النشاط غير المعتاد في المستودعات
- تحديث جميع الأدوات بانتظام
هذا الهجوم يُظهر تزايد تعقيد التهديدات التي تستهدف سلاسل التوريد البرمجية، خصوصاً تلك التي تعتمد عليها المشاريع مفتوحة المصدر. وفقاً لتيكبامين، يجب على المطورين توخي الحذر الشديد عند استخدام الأدوات الخارجية والتحقق دائماً من مصادرها.
