تعرض مسح الثغرات الأمنية مفتوح المصدر والشهير "تريفاي" (Trivy) لهجوم كبير على سلسلة التوريد، حيث قام جهة تهديد تُعرف باسم "TeamPCP" بتوزيع برامج ضارة لسرقة بيانات الاعتماد عبر قنوات الإصدار الرسمية للأداة. نجح المهاجمون في تعديل الإصدار 0.69.4 من الماسح الضوئي بحيث يحتوي على باب خلفي، ونشروا صور حاويات وإصدارات خبيثة على منصة GitHub للمستخدمين غير المتوقعين. يُعد "تريفاي" أداة حاسمة يستخدمها المطورون وفرق الأمن السيبراني لتحديد الثغرات والإعدادات الخاطئة والأسرار المتسربة في الحاويات وبيئات "Kubernetes" ومستودعات التعليمات البرمجية والبنية التحتية السحابية. جعلتها ثقتها الواسعة ووصولها إلى البيئات الحساسة هدفاً عالي القيمة لهذا الهجوم، الذي يهدف إلى جمع أسرار المصادقة وبيانات حساسة أخرى.
كشف الباحث الأمني بول مكارتي عن هذا الاختراق لأول مرة. وكشف التحليل اللاحق من قبل شركتي الأمن السيبراني "Socket" و "Wiz" عن النطاق المتطور للهجوم، الذي لم يؤثر فقط على الماسح الضوئي الرئيسي "تريفاي" ولكن أيضًا على نظامه البيئي. اخترق المهاجمون عملية البناء الخاصة بـ "تريفاي" على منصة GitHub، مما مكنهم من استبدال النص البرمجي الشرعي `entrypoint.sh` في "إجراءات GitHub" (GitHub Actions) بنسخة ضارة. علاوة على ذلك، نشروا ملفات ثنائية محملة بحصان طروادة في الإصدار الرسمي "تريفاي" v0.69.4. عملت هذه المكونات الخبيثة كبرامج لسرقة المعلومات، تستهدف بيانات الاعتماد من الأنظمة التي تم فيها تنفيذ الماسح الضوئي أو الإجراءات المخترقة.
كان للهجوم تأثير واسع، حيث تم اختراق جميع علامات الإصدار تقريبًا داخل مستودع `trivy-action` والإجراءات ذات الصلة على GitHub مثل `setup-trivy`. ضمنت هذه الطريقة أن أي سير عمل يستخدم هذه الإجراءات تلقائيًا سيقوم بسحب وتنفيذ الكود الضار. حصل المهاجمون على هذا المستوى من الوصول عن طريق إساءة استخدام بيانات اعتماد مخترقة كانت تتمتع بأذونات كتابة للمستودع، مما يسلط الضوء على الخطر الحاسم المرتبط برموز الوصول ذات الصلاحيات المفرطة في خطوط أنابيب التكامل والتسليم المستمر (CI/CD). يؤكد هذا الحادث على التهديد المتصاعد لهجمات سلسلة التوريد ضد أدوات المطورين الأساسية، حيث يمكن لاختراق واحد أن يكون له تأثير متتالي عبر عدد لا يحصى من المشاريع والمنظمات.
رداً على هذا الاختراق وثغرات حرجة أخرى، أصدر مجتمع الأمن السيبراني تحذيرات عاجلة. فقد أمرت وكالة الأمن السيبراني والبنية التحتية الأمريكية (CISA) الوكالات الفيدرالية بترقيع ثغرة أمنية ذات خطورة قصوى في منتجات "سيسكو" قبل موعد نهائي صارم. في الوقت نفسه، أصدرت "أوراكل" تصحيحاً طارئاً لثغرة حرجة تسمح بتنفيذ التعليمات البرمجية عن بُعد (RCE) في "مدير الهوية" الخاص بها، وتم إصدار تحذيرات بشأن ثغرات RCE جديدة تؤثر على متاجر "Magento" (المُسماة 'PolyShell') وأجهزة "Ubiquiti UniFi" التي يمكن أن تؤدي إلى الاستيلاء على الحسابات. تؤكد هذه التهديدات المتزامنة على الحاجة إلى أمن قوي لسلسلة توريد البرمجيات، والمراقبة اليقظة لأدوات DevOps، وترقيع البنية التحتية الحرجة فوراً.
