في هجوم متكرر وخطير على سلسلة التوريد، تعرض الماسح الضوئي الشهير مفتوح المصدر Trivy، الذي تديره شركة Aqua Security، للاختراق للمرة الثانية خلال شهر. استهدف الاختراق مستودعات GitHub Actions الرسمية، وتحديدًا "aquasecurity/trivy-action" و"aquasecurity/setup-trivy"، التي تُستخدم لدمج Trivy في خطوط أنابيب CI/CD لفحص صور الحاويات وإعداد سير العمل. وفقًا لباحث الأمان في Socket، فيليب بوركهارت، قام مهاجم بإجبار دفع 75 علامة إصدار من أصل 76 في مستودع `aquasecurity/trivy-action`. حول هذا الإجراء الخبيث المراجع الموثوقة للإصدارات إلى آلية توزيع لحمولة برمجية خبيثة مصممة للتشغيل داخل "عدّائي" GitHub Actions.
كان الهدف الرئيسي من الحمولة الخبيثة هو استخراج أسرار المطورين الحساسة بشكل منهجي من بيئات CI/CD. تشمل البيانات المستهدفة أصولًا ذات قيمة عالية مثل مفاتيح SSH الخاصة، بيانات اعتماد مزودي خدمات السحابة الرئيسيين (AWS، Azure، GCP)، سلاسل اتصال قواعد البيانات، رموز Git، ملفات تكوين Docker، رموز الوصول إلى عناقيد Kubernetes، وحتى مفاتيح محافظ العملات المشفرة. يمثل هذا الاختراق تصعيدًا حرجًا في هجمات سلسلة توريد البرامج، لأنه يهدد نزاهة خطوط أنابيب التطوير الآلية، وهي مكون أساسي في ممارسات DevOps الحديثة.
يمثل هذا الحادث الحدث الأمني الثاني الرئيسي لـ Trivy في فترة زمنية قصيرة. حدث الهجوم السابق في أواخر فبراير وأوائل مارس 2026، حيث استغل روبوت ذاتي يسمى `hackerbot-claw` سير عمل `pull_request_target` مُهيأ بشكل خاطئ. نجح الروبوت في سرقة رمز وصول شخصي (PAT)، والذي تم استخدامه بعد ذلك للاستيلاء على مستودع GitHub. قام المهاجم بحذف عدة إصدارات شرعية ونشر إصدارين خبيثين من إضافة Trivy لـ Visual Studio Code في سجل Open VSX. تم اكتشاف الاختراق الحالي أولاً من قبل الباحث الأمني بول مكارتي بعد ملاحظة إصدار جديد مشبوه (الإصدار 0.69.4) في مستودع GitHub الرئيسي "aquasecurity/trivy". كشف تحليل Wiz أن هذا الإصدار قام بتنفيذ خدمة Trivy الشرعية والكود الخبيث بشكل متوازٍ.
يؤكد الاستهداف المتكرر لأداة أمنية حرجة مثل Trivy على اتجاه خطير حيث يركز المهاجمون على البنية التحتية نفسها المستخدمة لضمان سلامة البرامج. من خلال اختراق ماسح ضوئي للثغرات، يمكن للجهات الفاعلة الخبيثة التسلل إلى دورة حياة التطوير للعديد من المشاريع التي تعتمد عليه. قامت Aqua Security بإزالة الإصدار الخبيث 0.69.4 وتجري تحقيقًا شاملاً. في بيان، أكد إيتاي شاكوري، نائب رئيس المصادر المفتوحة في Aqua Security، التزام الشركة بتعزيز عمليات الإصدار ومراجعة جميع ضوابط الوصول لمنع الحوادث المستقبلية. يعد هذا الاختراق تذكيرًا صارخًا للمنظمات بتنفيذ فحوصات صارمة للنزاهة، مثل التحقق من توقيعات الالتزامات واستخدام مواد إصدار ثابتة وغير قابلة للتغيير، بدلاً من الاعتماد على العلامات القابلة للتغيير في سير عمل CI/CD الخاصة بهم.
