هاجم قراصنة أنظمة أمان Aqua Security واستهدفوا بشكل كبير أداة فحص الثغرات الشهيرة “Trivy”، حيث تمكنوا من السيطرة على معظم إصداراتها في هجوم مستمر على سلسلة التوريد. وقد يترتب على هذا الاختراق عواقب واسعة النطاق على المطورين والمنظمات التي تعتمد على هذه الأداة في تطويرها ونشرها للبرمجيات.
وأكد مطور أداة Trivy، إيتاي شكوري، حدوث الاختراق يوم الجمعة، بعد انتشار شائعات وسلسلة تغريدات، تم حذفها لاحقًا من قبل المهاجمين، تتعلق بالحادث. بدأ الهجوم في الساعات الأولى من يوم الخميس، حيث قام المهاجم باستخدام بيانات اعتماد مسروقة لدفع جميع علامات الإصدار الخاصة بـ “trivy-action” و“setup-trivy” إلى استخدام برمجيات خبيثة، مع استثناء نسخة واحدة فقط.
### أهمية التحذير: التصرف على أن جميع البيانات مخترقة
في أعقاب هذا الاختراق، نصح شكوري جميع المستخدمين بالتعامل مع جميع أسرار وبيانات pipelines على أنها مخترقة، وإجراء تغييرات فورية على كلمات المرور والبيانات السرية.
الهجوم استهدف بشكل رئيسي أدوات التكامل المستمر والنشر التلقائي (CI/CD)، حيث يستخدم المطورون أدوات فحص الثغرات للكشف عن الثغرات الأمنية والأسرار المخزنة داخل pipelines، مثل رموز GitHub، بيانات اعتماد السحابة، مفاتيح SSH، رموز Kubernetes، وغيرها من البيانات الحساسة.
### كيف تم تنفيذ الهجوم؟
قام المهاجمون باستخدام أمر “force push” في نظام Git، وهو أمر يسمح بتجاوز آليات الحماية الاعتيادية التي تمنع استبدال الالتزامات السابقة، ليقوموا بتحديث علامات الإصدارات الرسمية ببرمجيات خبيثة. من خلال هذا الأسلوب، تمكنوا من استبدال إصدارات شهيرة مثل @0.34.2، @0.33، و@0.18.0، مع العلم أن الإصدار @0.35.0 بقي غير متأثر حتى الآن.
### ما هو تأثير هذا الاختراق؟
عندما يتم تشغيل نسخة مصابة من أداة Trivy، تقوم البرمجيات الخبيثة بفحص أنظمة التطوير بشكل شامل، بما يشمل أجهزة المطورين، للبحث عن رموز الوصول إلى GitHub، بيانات اعتماد السحابة، مفاتيح SSH، أو رموز Kubernetes. بمجرد العثور عليها، تقوم البرمجية بعملية تشفير لهذه البيانات وإرسالها إلى خادم يتحكم فيه المهاجمون.
وبالتالي، فإن أي خط أنابيب CI/CD يستخدم نسخة ملوثة من الأداة، يشرع تلقائيًا في تنفيذ تعليمات خبيثة، مما يعرض البنية التحتية للمخاطر ويهدد أمن البيانات.
### خلاصة وتوصيات
حتى الآن، يبدو أن الإصدار @0.35.0 لم يتأثر بالهجمة، ولكن ينصح بشدة جميع المستخدمين بمراجعة إصدارات أدواتهم، وإجراء مراجعة أمنية فورية، وإعادة تدوير جميع الأسرار السرية التي قد تكون معرضة للخطر. تعتبر هذه الحادثة تذكيرًا هامًا بأهمية التحقق المستمر من سلامة أدوات التطوير والتحديثات، خاصة في ظل هجمات سلسلة التوريد التي أصبحت أكثر انتشارًا وخطورة.
المصدر: Biz & IT – Ars Technica
