تصاعد هجمات اختراق سلاسل التوريد: استهداف Trivy يكشف عن ثغرات خطيرة
تعرضت أداة فحص الثغرات الأمنية مفتوحة المصدر Trivy، التي تديرها شركة Aqua Security، لعملية اختراق أمنية ثانية خلال شهر واحد، وذلك بهدف نشر برمجيات خبيثة قادرة على سرقة بيانات حساسة تتعلق بمنصات التكامل والمتابعة المستمرة (CI/CD). يأتي هذا الحادث ليؤكد المخاطر المتزايدة لهجمات سلسلة التوريد التي تستهدف الأدوات البرمجية الموثوقة.
وتمثلت أحدث هجمة في استهداف إجراءات GitHub، المعروفة باسم “aquasecurity/trivy-action” و”aquasecurity/setup-trivy”. تستخدم هذه الإجراءات لفحص صور Docker بحثاً عن الثغرات، ولإعداد سير عمل GitHub Actions بإصدار محدد من الماسح الضوئي Trivy. وأفاد باحث أمني في شركة Socket بأن المهاجمين قاموا بتغيير 75 من أصل 76 علامة إصدار في مستودع “aquasecurity/trivy-action”، مما سمح لهم بتوزيع حمولات خبيثة استغلت ثقة المستخدمين.
تفاصيل الاختراق والآثار المترتبة
تستهدف الحمولة الخبيثة بشكل مباشر بيئات CI/CD، حيث تسعى لاستخراج أسرار المطورين القيمة. تشمل هذه الأسرار مفاتيح SSH، وبيانات اعتماد مقدمي خدمات السحابة، وقواعد البيانات، ومعلومات Git، وإعدادات Docker، ورموز Kubernetes، وحتى محافظ العملات الرقمية. وقد تم اكتشاف الإصدارات المعدلة بشكل دقيق، مما جعل من الصعب التعرف عليها في البداية.
ويعتبر هذا التطور بمثابة حادث ثانٍ في سلسلة هجمات استهدفت Trivy. في أواخر فبراير وأوائل مارس، استغل روبوت مستقل يُدعى hackerbot-claw ثغرة في سير عمل “pull_request_target” لسرقة رمز وصول شخصي (PAT)، والذي تم استخدامه لاحقًا للسيطرة على مستودع GitHub، وحذف عدة إصدارات، ودفع إصدارات خبيثة لملحق VS Code.
آلية عمل الحمولة الخبيثة
وفقًا لتقرير من شركة Wiz، يبدأ الإصدار الخبيث (0.69.4) بتشغيل خدمة Trivy الشرعية بالتوازي مع شفرة خبيثة تقوم بسلسلة من المهام. تشمل هذه المهام سرقة البيانات عبر مسح متغيرات البيئة وبيانات الاعتماد، وتشفيرها، ثم إرسالها إلى خادم خارجي. ومن ثم، يتم إنشاء آلية استمرارية باستخدام خدمة systemd، التي تقوم بتشغيل برنامج Python لاسترداد وتنفيذ حمولات إضافية.
وأوضح ممثل عن Aqua Security أن المهاجمين أساءوا استخدام بيانات اعتماد مخترقة لنشر الإصدارات الخبيثة. وفي حالة “aquasecurity/trivy-action”، قام المهاجم بتغيير علامات الإصدار لتوجيه المستخدمين إلى التزامات خبيثة تحتوي على الحمولة الخبيثة. هذه الطريقة، المعروفة باسم “tag poisoning”، تجعل من الصعب اكتشاف التغييرات باستخدام الأدوات التقليدية.
التداعيات والمخاوف الأمنية
أشارت التحقيقات إلى أن الهجوم الأخير نتج عن عدم اكتمال معالجة الحادث السابق. على الرغم من قيام الشركة بتدوير الأسرار والرموز، إلا أن المهاجمين ربما تمكنوا من الوصول إلى الرموز المحدثة. وتعمل Aqua Security حالياً على تطبيق نهج أكثر صرامة، وتقييد جميع الإجراءات الآلية والرموز لحل المشكلة بشكل جذري.
تتكون عملية السرقة من ثلاث مراحل: جمع متغيرات البيئة من ذاكرة عملية التشغيل ونظام الملفات، ثم تشفير البيانات، وأخيراً إرسالها إلى خادم يتحكم فيه المهاجم. وفي حال فشل الإرسال، يتم استغلال حساب GitHub الخاص بالضحية لتخزين البيانات المسروقة في مستودع عام.
الجهات المحتملة وراء الهجوم
حتى الآن، لم يتم تحديد الجهة المسؤولة عن الهجوم بشكل قاطع، ولكن بعض الأدلة تشير إلى احتمال تورط مجموعة تُعرف باسم TeamPCP. يتجلى هذا في تعريف برنامج سرقة البيانات عن نفسه بأنه “TeamPCP Cloud stealer” في شفرته المصدرية. تشتهر هذه المجموعة بأنها منصة إجرامية سيبرانية سحابية تستهدف البنية التحتية السحابية الحديثة لسرقة البيانات والابتزاز.
تمتلك Group TeamPCP تاريخاً في استهداف قطاع العملات الرقمية، ويركز هذا الهجوم بشكل خاص على سرقة مفاتيح Solana validator ومحافظ العملات الرقمية، مما يتوافق مع دوافعهم المالية المعروفة. ورغم إمكانية أن يكون هذا التعريف الزائف، إلا أن التداخل التقني مع أدوات TeamPCP السابقة يجعل من المحتمل أن تكون هذه المجموعة هي المسؤولة.
توصيات للمطورين والمستخدمين
ننصح المستخدمين بالتأكد من استخدام أحدث الإصدارات الآمنة من Trivy. وتوصي Aqua Security، في حال الشك في استخدام إصدار مخترق، باعتبار جميع الأسرار في خطوط الأنابيب (pipelines) مخترقة وتدويرها فورًا. تشمل الإجراءات الوقائية الإضافية حظر نطاق الاستخراج وعنوان IP المرتبط به على مستوى الشبكة، والتحقق من حسابات GitHub بحثًا عن مستودعات باسم “tpcp-docs”.
وأخيرًا، يُنصح بتثبيت إجراءات GitHub باستخدام تجزئات SHA الكاملة بدلاً من علامات الإصدار، لأن علامات الإصدار يمكن أن يتم توجيهها نحو مساهمات خبيثة، كما أظهر هذا الهجوم. ويُعد هذا الحادث تذكيراً هاماً بأهمية اليقظة المستمرة في مجال الأمن السيبراني، وخاصة مع تزايد الاعتماد على الأدوات والمنصات مفتوحة المصدر.