ظلّ في خطّ الأنابيب: كيف اختطفت TeamPCP تكامل Checkmarx المستمر لتدبير انهيارٍ في سلسلة التوريد

العنوان الفرعي: حملة متقدمة لسرقة بيانات الاعتماد تكشف هشاشة أمن CI/CD، مهدِّدةً سلسلة توريد البرمجيات بأكملها.

يهتزّ عالم أمن سلسلة توريد البرمجيات عقب هجوم سيبراني جريء نفّذته TeamPCP، وهي عصابة إجرامية سحابية الأصل. فمن خلال تسليح بيانات اعتماد مسروقة، تسللت المجموعة إلى GitHub Actions الخاصة بـ Checkmarx، مطلِقةً تأثير الدومينو الذي لا يهدد شركة واحدة فحسب، بل الثقة التي يقوم عليها تطوير البرمجيات مفتوحة المصدر. ما بدأ كاختراق واحد تحوّل إلى حملة متعددة المحاور، تستغل الأدوات ذاتها التي وُجدت لحماية الشيفرة.

حقائق سريعة

اخترقت TeamPCP سير عمل GitHub Actions لدى Checkmarx باستخدام بيانات اعتماد التكامل المستمر (CI) المسروقة.
جاء الهجوم عقب اختراق مماثل لماسح Trivy التابع لـ Aqua Security، والمتعقَّب تحت CVE-2026-33634 (درجة CVSS: 9.4).
قام برنامج خبيث بتهريب الأسرار - بما في ذلك مفاتيح السحابة والرموز المميِّزة - إلى نطاق مزوّد مزيف، “checkmarx[.]zone”.
نشر المهاجمون إضافات VSX مُحصَّنة بطروادة وصوّروا صور Docker مُسلَّحة، ما صعّد مخاطر سلسلة التوريد.
شملت آليات الاستمرارية والبدائل تهيئة البيانات في مستودعات شبيهة والاستطلاع الدوري بحثًا عن حمولات إضافية.

رصد المحققون أولى بصمات TeamPCP بعد أيام من اختراق Trivy في مارس 2026، حين ظهر برنامج خبيث مطابق لسرقة بيانات الاعتماد داخل سير عمل GitHub Actions الخاصة بـ Checkmarx نفسها. هذا البرنامج، الذي أُطلق عليه اسم “TeamPCP Cloud stealer”، صُمّم لحصد طيف واسع من الأسرار - من مفاتيح SSH وبيانات اعتماد منصات السحابة إلى إعدادات CI/CD وحتى محافظ العملات المشفّرة.

يجمع نهج المهاجمين بين الجانب التقني والنفسي. فمن خلال الدفع القسري للوسوم (force-pushing tags) إلى مستودعات موثوقة واستخدام نطاقات مزوّد مُستنسخة عبر أخطاء إملائية (مثل “checkmarx[.]zone”)، أخفوا تهريب البيانات الخبيث على أنه حركة مرور CI اعتيادية - متجاوزين المراجعة السطحية. وبمجرد الدخول، كنس البرنامج الخبيث الرموز الحساسة، وإذا كانت تلك الرموز ذات صلاحيات واسعة، استُخدمت لإصابة مستودعات أخرى ضمن اختراق متسلسل.

وأشار محللو Sysdig إلى أن جهات التهديد بنت حتى قنوات تهريب احتياطية: فإذا فشل نقل البيانات المباشر، أنشأ البرنامج الخبيث مستودعًا جديدًا داخل منظمة الضحية - باسم “docs-tpcp” أو “tpcp-docs” - لتخزين الغنيمة. كما استهدفت المجموعة أنظمة غير مرتبطة بـ CI، مثبتةً برمجيات خبيثة دائمة تستطلع دوريًا حمولات جديدة وتضم مفتاح قتل غريبًا - يعيد التوجيه إلى فيديو موسيقي إذا تم تفعيله.

أتاحت سلسلة الهجوم اختراق حساب خدمة (“cx-plugins-releases”)، ما مكّن TeamPCP من نشر إضافات Open VSX مُحصَّنة بطروادة. وعند تفعيلها، تتحقق هذه الإضافات من وجود بيانات اعتماد سحابية، وإذا وُجدت، تجلب حمولات إضافية لتوغّل أعمق. وقد وازى تعقيدهم التقني جرأتهم: فبعد الاختراق الأولي، دفعوا صور Docker خبيثة، واختطفوا منظمات GitHub داخلية، بل ونشروا نصوصًا تدميرية ضد عناقيد Kubernetes، تمحو الأنظمة بناءً على الإعدادات المحلية.

في أعقاب ذلك، يحث خبراء الأمن المؤسسات على تدوير جميع الأسرار المكشوفة، وتدقيق سجلات سير العمل بحثًا عن نشاط مريب، وتثبيت الإجراءات على التزامات غير قابلة للتغيير، ومراقبة حركة المرور الصادرة من مشغّلات CI. إن حادثة TeamPCP تذكير صارخ: حتى أكثر أجزاء خط التطوير موثوقية ليست أكثر أمانًا من أضعف بيانات اعتماد فيها.

WIKICROOK

GitHub Actions: تقوم GitHub Actions بأتمتة مهام مثل اختبار الشيفرة ونشرها على GitHub. ورغم أنها تعزز الإنتاجية، يمكن إساءة استخدامها إذا لم تُؤمَّن بالشكل الصحيح.
CI/CD: يقوم CI/CD بأتمتة اختبار البرمجيات ونشرها، ما يتيح للفرق تسليم تغييرات الشيفرة بسرعة وأمان وكفاءة مع الحد الأدنى من التدخل اليدوي.
Credential Stealer: سارق بيانات الاعتماد هو برنامج خبيث مُصمَّم للعثور على كلمات المرور أو المفاتيح الرقمية أو رموز المصادقة وسرقتها من حاسوب الضحية أو جهازه.
Typosquatting: الاستيلاء عبر الأخطاء الإملائية يحدث عندما يستخدم المهاجمون أسماء شبيهة بمواقع أو برمجيات موثوقة لخداع المستخدمين لزيارة مواقع مزيفة أو تنزيل برمجيات خبيثة.
Persistence: تتضمن الاستمرارية تقنيات تستخدمها البرمجيات الخبيثة للبقاء بعد إعادة التشغيل والاختباء على الأنظمة، غالبًا عبر محاكاة عمليات أو تحديثات شرعية.