كشفت تقارير أمنية حديثة عن اختراق جديد لسلسلة التوريد البرمجية، حيث نجحت مجموعة تهديد تُعرف باسم TeamPCP في استهداف عمليات GitHub Actions التابعة لشركة Checkmarx المتخصصة في أمن سلسلة التوريد. ويأتي هذا الهجوم بعد أيام قليلة من اختراق نفس المجموعة لأداة Trivy الشهيرة.
ما هي تفاصيل الهجوم الجديد على Checkmarx؟
وفقاً لشركة Sysdig للأمن السحابي، تم رصدي نفس البرمجية الخبيثة لسرقة بيانات الاعتماد التي استخدمتها مجموعة TeamPCP في اختراق أداة Trivy. وقد حدث الاختراق الجديد بعد 4 أيام من الحادثة الأولى التي وقعت في 19 مارس 2026.
العمليتان المستهدفتان من Checkmarx هما:
- GitHub Action الأول لشركة Checkmarx
- GitHub Action الثاني لشركة Checkmarx
كيف يتم سرقة بيانات الاعتماد؟
تستخدم المجموعة أداة تُسمى "TeamPCP Cloud Stealer" المصممة لسرقة مجموعة واسعة من البيانات الحساسة، حسبما ذكر تيكبامين في تغطيتها للحدث.
الأداة قادرة على سرقة:
- مفاتيح SSH وبيانات اعتماد Git
- بيانات AWS وGoogle Cloud وMicrosoft Azure
- بيانات Kubernetes وDocker
- ملفات .env وقواعد البيانات
- إعدادات CI/CD
- محافظ العملات الرقمية
- عناوين webhook الخاصة بـ Slack وDiscord
ما هي طريقة الاختراق المستخدمة؟
يعمل المهاجمون عن طريق دفع قوة (force-push) لعناوين-tags إلى commits خبيثة تحتوي على البرمجية الضارة (setup.sh). يتم نقل البيانات المسروقة بشكل مشفرة إلى النطاق checkmarx[.]zone.
يذكر أن هذا الاختراق يُ tracked تحت معرف CVE-2026-33634 مع تصنيف خطورة 9.4 من 10، مما يدل على خطورته العالية.
تطوير تكتيكات الاختراق
الإصدار الجديد من البرمجية الخبيثة يقوم بإنشاء مستودع يُدعى "docs-tpcp" باستخدام GITHUB_TOKEN الخاص بالضحية كطريقة احتياطية لنقل البيانات المسروقة في حالة فشل النقل إلى الخادم الرئيسي.
لماذا يعتبر هذا الهجوم خطيراً؟
تكمن خطورة هذا الهجوم في قدرته على خلق تأثير متسلسل. فالبيانات المسروقة من GitHub Action واحد يمكن استخدامها لاختراق Actions أخرى.
إذا كانت الرموزالمميزة (Tokens) المسروقة تمتلك صلاحيات كتابة على مستودعات تستخدم Checkmarx Actions، يمكن للمهاجمين استخدامها لدفعد كود خبيث.
هذا يفتح الباب أمام اختراق متتالي لسلسلة التوريد، حيث يتم استخدام بيانات مسروقة من Action مختطف لاختراق Actions أخرى.
تكتيك التضليل المستخدم
تستخدم مجموعة TeamPCP نطاقات typosquat خاصة بكل مورد لخداع المحللين. عندما يراجع محلل سجلات CI/CD، يبدو أن حركة curl تتجه إلى نطاق المورد الرسمي، مما يقلل من احتمالية الكشف اليدوي.
الخلاصة أن هذه الهجمات المتسلسلة على سلسلة التوريد البرمجية، بدءاً من Trivy وصولاً إلى Checkmarx، تظهر مدى تعقيد وتطور تكتيكات مجموعات التهديد السيبراني الحديثة، وفقاً لمراقبة تيكبامين المشهد الأمني.
