«ديدان الرمل في خط الأنابيب»: اختطاف صور Docker الخاصة بـ Checkmarx KICS في عملية سطو على بيانات اعتماد المطورين

في 22 أبريل 2026، اهتزّ عالم سلسلة توريد البرمجيات على وقع اختراق متقن: إذ جرى اختطاف مستودع Docker الرسمي لـ Checkmarx KICS، وهو مورد موثوق لتأمين البنية التحتية ككود (IaC)، بصمت. وفي الظلال، استبدل المهاجمون الصور والأدوات الموثوقة بنسخ مُسلّحة، مطلقين حملة خفية لسرقة بيانات الاعتماد والتسلل إلى بيئات السحابة حول العالم.

حقائق سريعة

• تم اختراق مستودع Checkmarx KICS على Docker Hub، مع استبدال الوسوم الموثوقة بصور خبيثة.
• امتدادات VS Code المُعبث بها وحمولة JavaScript بحجم 10MB سرقت بيانات اعتماد GitHub والسحابة وNPM.
• استخدم المهاجمون تسميات مستوحاة من «ديون» لمستودعات التجهيز، وهرّبوا الأسرار عبر نطاق Checkmarx مزيف.
• انتشرت البرمجية الخبيثة عبر خطوط CI/CD وأعادت نشر حزم NPM مزروعة بباب خلفي لتوسيع الاختراق.
• أعلنت TeamPCP، وهي مجموعة تهديد معروفة في مجال سلسلة التوريد، مسؤوليتها.

كيف تكشّف الهجوم

قام المهاجمون أولاً باختراق مستودع Checkmarx/Kics على Docker Hub، ودفعوا صوراً مُحصّنة بتروجان استبدلت الإصدارات الرسمية - بما في ذلك “latest” و“alpine” ووسم “v2.1.21” المريب الذي لا نظير له في المصدر الأعلى. احتوت هذه الصور على ملف ثنائي Golang مُعدّل: كان يُجري فحوصات IaC كما هو متوقع، لكنه كان سراً يُشفّر نتائج الفحص ويُمرّرها إلى خادم قياس عن بُعد مزيف تابع لـ Checkmarx.

وتعقّدت الحبكة حين اتجه المهاجمون إلى أدوات Checkmarx على VS Code. فقد عبثوا بإصداري الامتداد 1.17.0 و1.19.0، وضمّنوا “إضافة MCP” مخفية. هذه الميزة، المُموّهة في سجل التزامات Git، كانت تُطلق حمولة JavaScript ضخمة ومموّهة (mcpAddon.js) تحصد بهدوء رموز مصادقة المطورين ومفاتيح السحابة وبيانات اعتماد NPM. وباستخدام بيئة تشغيل Bun، نُفّذت دون أن تُكتشف، لتنتقل من محطات عمل المطورين إلى خطوط CI/CD.

وفي منعطف يليق بخيال السايبربانك، استخدمت البرمجية الخبيثة رموز GitHub المسروقة لإنشاء مستودعات تجهيز عامة - مُسمّاة بإشارات إلى عالم «ديون» مثل “gesserit-melange-813” - لتخزين الأسرار المُهرّبة والمشفّرة. ثم حقنت سير عمل خبيثاً في GitHub Actions (“format-check.yml”) داخل المستودعات القابلة للكتابة، مُفرغةً كل الأسرار إلى ملفات لسهولة سرقتها. ولتعظيم الأثر، حدّدت البرمجية الخبيثة حزم NPM التي يديرها الضحايا وأعادت نشرها بعد تلويثها، ما وسّع انتشار الاختراق عبر سلاسل توريد المصادر المفتوحة.

وسارعت مجموعة التهديد TeamPCP، سيئة الصيت بسبب هجمات سابقة على Trivy وLiteLLM، إلى تبنّي العملية. وتُظهر عمليتهم تنامي التعقيد والحجم في تهديدات سلسلة توريد البرمجيات، حيث تتحول أدوات المطورين إلى منصة إطلاق لسرقة بيانات اعتماد واسعة النطاق واختراق المنظومات.

وماذا الآن؟

بالنسبة للمؤسسات التي تستخدم Checkmarx KICS، فهذا إنذار من الدرجة القصوى: يجب إزالة جميع صور Docker وامتدادات VS Code المتأثرة من بيئات البناء، وتدوير كل رمز ومفتاح وسر تم كشفه فوراً. وتُحث فرق الأمن على تمشيط GitHub Actions بحثاً عن سير عمل مريب ومستودعات عامة غير مألوفة، خصوصاً تلك ذات الأسماء المستوحاة من الخيال العلمي. في معركة نزاهة البرمجيات، باتت اليقظة هي الدرع الوحيد.

WIKICROOK

• هجوم سلسلة التوريد: هجوم سلسلة التوريد هو هجوم سيبراني يختـرق مزوّدي البرمجيات أو العتاد الموثوقين، ناشراً برمجيات خبيثة أو ثغرات إلى العديد من المؤسسات دفعة واحدة.
• صورة Docker: صورة Docker هي بيئة مُعبّأة تحتوي على جميع المكونات اللازمة لتشغيل تطبيق بشكل متسق عبر أنظمة مختلفة ومنصات سحابية.
• امتداد VS Code: امتداد VS Code هو إضافة برمجية لـ Visual Studio Code تضيف ميزات أو أدوات أو تخصيصات جديدة لتحسين إنتاجية المطورين.
• خط CI/CD: يقوم خط CI/CD بأتمتة اختبار الشيفرة ونشرها، ما يمكّن المطورين من تقديم تحديثات برمجية بسرعة وموثوقية وبأخطاء أقل.
• GitHub Actions: تقوم GitHub Actions بأتمتة مهام مثل اختبار الشيفرة ونشرها على GitHub. ورغم تعزيزها للإنتاجية، يمكن إساءة استخدامها إذا لم تُؤمَّن بشكل صحيح.