كشفت شركة Checkmarx يوم الاثنين أن الأدلة الحالية تشير إلى أن البيانات التي تم تسريبها جاءت من مستودعات GitHub الخاصة بها، وأن الوصول إلى تلك المستودعات تم تسهيله من خلال هجوم سلسلة التوريد الذي وقع في 23 مارس 2023. ولم توضح الشركة نوعية البيانات التي تعرضت للاختراق.
تأثيرات هجوم سلسلة التوريد تتجاوز Checkmarx
ليست Checkmarx الشركة الأمنية الوحيدة التي عانت من تداعيات خرق بيانات Trivy. فقد أعلنت شركة Socket أن شركة أمن أخرى، وهي Bitwarden، تعرضت أيضًا لهجوم عبر نفس نوع هجوم سلسلة التوريد. وأرجعت Socket خرق بيانات Bitwarden إلى حملة Trivy، لأنها استخدمت نفس نقطة التحكم (C2) والبنية التحتية الأساسية التي استُخدمت في برمجيات Checkmarx الخبيثة.
تفاصيل هجوم Bitwarden
قالت شركة Bitwarden إن حزمة ضارة تم توزيعها لفترة قصيرة عبر مسار التوصيل الخاص بـ npm لنسخة @bitwarden/cli@2026.4.0 بين الساعة 5:57 مساءً و7:30 مساءً بتوقيت شرق الولايات المتحدة في 22 أبريل 2026.
من قام بالهجوم؟
الهجوم على Trivy نفذه مجموعة تُعرف باسم TeamPCP، وهي من بين أكثر مجموعات القرصنة نجاحًا في سرقة الاعتمادات وبيعها. تعتمد هذه المجموعة على استهداف الأدوات التي تمتلك صلاحيات وصول مسبقة، مما يسهل عليها الوصول إلى أنظمة أكبر.
الارتباط بمجموعات الفدية
بالنسبة لـ Checkmarx، يبدو أن المجموعة باعَت بيانات اعتماد الدخول إلى مجموعة فدية تُدعى Lapsu$, التي تتكون في الغالب من مراهقين يُعرفون بمهاراتهم العالية في اختراق الشركات الكبرى وبطبع تهديداتهم وافتخارهم عند النجاح.
تداعيات الهجمات المتسلسلة
تُظهر هذه الحوادث مدى التأثير السلبي الذي يمكن أن يحدثه اختراق واحد. مع تعرض كل من Checkmarx و Bitwarden، قد تتعرض عملاؤهما وشركاؤهما لهجمات جديدة، وقد تتسبب تلك الاختراقات في تسرب المزيد من البيانات عبر السلسلة. قال الرئيس التنفيذي لشركة Socket، فروس أبوخالدجة، في رسالة إلكترونية، إن المؤسسات الأمنية هدف رئيسي بسبب قرب منتجاتها من البيانات الحساسة وانتشارها الواسع على الإنترنت.
نهج المهاجمين
أكد أبوخالدجة أن المهاجمين يستخدمون أدوات الأمان كهدف ووسيلة للهجوم في آن واحد. فهم يهاجمون المنتجات التي يُفترض أن تحمي سلسلة الإمداد، ثم يستخدمون تلك الأدوات نفسها لسرقة الاعتمادات والانتقال إلى الضحايا التاليين.
المصدر: Biz & IT – Ars Technica
