في الآونة الأخيرة، تعرض مشروع Checkmarx KICS لاختراق خطير، مما يسلط الضوء على التهديدات المتزايدة على سلسلة التوريد.
بعد الهجوم الواسع على سلسلة التوريد الذي أثر على مشروع Trivy، الذي تحافظ عليه Aqua Security، كشفت Checkmarx يوم الثلاثاء أن المهاجمين قد تمكنوا من اختراق إصدار من مشروع Keeping Infrastructure as Code Secure (KICS)، وهو مشروع تحليل الشيفرة الثابتة مفتوح المصدر الذي تطوره وتديره.
على وجه التحديد، تسلل المجرمون الإلكترونيون إلى KICS GitHub Action، الذي تستخدمه المنظمات لتشغيل عمليات فحص KICS ضمن خطوط أنابيب CI/CD الخاصة بها، وقاموا بتسميم عدة إصدارات من البرنامج. وأوضحت Checkmarx أن أي منظمة كانت قد قامت بتكوين خطوط أنابيب CI/CD الآلية لتشغيل KICS GitHub Action خلال نافذة زمنية مدتها أربع ساعات في صباح 23 مارس قد تكون تأثرت.
في نفس اليوم، نشر المهاجمون أيضًا إصدارات ضارة من اثنين من إضافات Checkmarx VS Code في سجل OpenVSX، حيث كانت متاحة للتنزيل لمدة حوالي ثلاث ساعات في 23 مارس.
تأتي أخبار الهجمات بعد أيام قليلة من تقرير Aqua Security عن هجوم حيث استخدم أحد المهاجمين بيانات اعتماد وصول مميزة مسروقة مسبقًا لتسميم 76 من 77 إصدارًا تم إصدارها سابقًا من KICS GitHub Action باستخدام برنامج سرقة المعلومات. كما استغل نفس المهاجم حساب خدمة آلي مخترق لنشر صورتين ضارتين من Docker.
نسبت شركة أمان واحدة على الأقل البرمجيات الضارة المستخدمة في هجمات Trivy وCheckmarx إلى مجموعة TeamPCP، التي تكتسب اهتمامًا بسبب هجماتها الآلية على البنية التحتية السحابية، والتي تتضمن العديد منها سرقة بيانات الاعتماد. ويبدو أن هناك أهدافًا أخرى لسلسلة التوريد أيضًا.
هجوم متزايد على سلسلة التوريد
أفادت GitGuardian يوم الثلاثاء أن الحملة قد انتشرت إلى سجل برمجيات PyPI، حيث قام المهاجم الذي تحدده باسم TeamPCP بإصابة إصدارات Litellm 1.82.7 و1.82.8 بنفس البرمجيات الضارة المستخدمة في حملة Trivy.
تمكن برنامج سرقة المعلومات في الإصدارات المسمومة من Litellm، التي تمت إزالتها الآن من قبل القائمين على PyPI، من تمكين مجموعة كاملة من سرقة بيانات الاعتماد، بما في ذلك سرقة مفاتيح SSH وبيانات الاعتماد السحابية، ورموز API، وتكوينات Docker، والمعلومات المرتبطة بمحافظ العملات المشفرة، والمزيد، وفقًا لما ذكرته GitGuardian.
تستخدم العديد من المنظمات Litellm لبناء تطبيقات مدعومة بالذكاء الاصطناعي، لذا فإن التأثير المحتمل قد يكون واسعًا.
“يتم تنزيل Litellm ملايين المرات يوميًا ومن المحتمل جدًا أن يكون نطاق الأثر كبيرًا، على الرغم من استجابة PyPI السريعة في إزالة الحزمة الضارة،” يقول غيوم فالادون، باحث الأمن السيبراني في GitGuardian، لـ Dark Reading.
بالنسبة للمنظمات، الرسالة واضحة، يقول فالادون: “المهاجمون يسعون للحصول على أسرارك. عندما يتعلق الأمر بالاستجابة للحوادث، فإن المفتاح الآن هو وجود جرد في الوقت الحقيقي من الأسرار المخترقة حتى تتمكن من إلغائها على الفور، وبالتالي تحييد التهديد الذي تشكله هذه الهجمات على سلسلة التوريد باستخدام برامج سرقة المعلومات.”
المهاجمون يسعون للحصول على أسرار المطورين
لم تكشف Checkmarx حتى الآن عن التفاصيل الكاملة للاختراق الذي يتعلق بالإضافات الضارة لـ VS Code أو تلك المتعلقة بـ KICS GitHub Action، بخلاف القول إنها مرتبطة. لم تقدم الشركة، على سبيل المثال، تفاصيل حول الحمولة الضارة. لكن توصيتها بأن تقوم خطوط الأنابيب الآلية للبناء، التي قد تكون قد تفاعلت مع الإضافات المخترقة، بتدوير جميع بيانات الاعتماد ومفاتيح الوصول وبيانات تسجيل الدخول على الفور، تشير إلى أن الحمولة عبارة عن برنامج سرقة معلومات.
ردًا على طلب Dark Reading، قال متحدث باسم Checkmarx عبر البريد الإلكتروني إن الشركة قد قامت بالفعل بإبلاغ العملاء بتفاصيل الحادث بالإضافة إلى إفصاحها العام. “[Checkmarx] في عملية إضافة تحديث يفيد بأن العناصر الضارة قد تمت إزالتها من Open VSX. نحن مستمرون في تحقيقنا النشط وسنشارك المزيد عندما نحصل عليه،” جاء في البيان.
وفقًا لفالادون من GitGuardian، لا يوجد شك في أن الهجمات التي تشمل Trivy من Aqua، وإضافات VS Code من Checkpoint، وKICS GitHub Action، وLitellm كلها مرتبطة. “إنها تشترك في مؤشرات مشابهة للاختراق (IoCs)، مثل المفتاح العام المستخدم للاستخراج، والخدمات والملفات المستهدفة، بالإضافة إلى تقنية الاستمرار،” يقول.
في غضون ذلك، ترك المهاجمون رسالة، وهي رابط إلى فيديو Queen “The Show Must Go On”، “تشير إلى أن هذه ليست سوى البداية.”
تهديد TeamPCP السيبراني مرشح للنمو
أفادت Wiz Research، التي تتعقب الحملة بشكل مستقل، أن النشاط قد تم نسبه أيضًا إلى TeamPCP، قائلة إن بياناتها تشير أيضًا إلى وجود جهة تهديد مشتركة وراء اختراقات Trivy وCheckmarx وLiteLLM. تعتقد الشركة أن TeamPCP قد بدأت بالتعاون مع مجموعة الابتزاز الشهيرة LAPSUS$ “لنشر الفوضى.”
“هذا ليس مجرد سرقة بيانات اعتماد؛ إنه ‘تساقط’ على مستوى النظام يستهدف السلسلة الحديثة من السحابة والذكاء الاصطناعي،” قال بن ريد، الباحث الرئيسي في Wiz، في بيان. وقد أظهر الباحث أن liteLLM موجود في 36% من جميع البيئات السحابية، كما قال.
“من خلال استهداف أدوات الأمان وأدوات الذكاء الاصطناعي، تكتسب هذه الحملة موطئ قدم في أكثر أجزاء دورة التطوير حساسية،” أوضح. “تُحذر الرسائل العامة من المهاجمين من ‘تأثير كرة الثلج’ وأهداف مستقبلية عبر مشاريع مفتوحة المصدر المفضلة.”
في تعليقات منفصلة لـ Dark Reading، يقول ريد إن الهجوم الذي يتضمن إضافات OpenVSX كان أيضًا جزءًا من نفس الحملة لأنه ينطوي على استخدام نفس الشيفرة والمفتاح العام: “لقد قال المهاجمون إنهم يتعاونون مع منظمات مختلفة، من المحتمل لتنفيذ الابتزاز، لكننا لم نؤكد أن هذا قد حدث بعد.”
تظل أهمية حماية الأسرار وبيانات الاعتماد واضحة في ظل هذه الهجمات المتزايدة، مما يتطلب استجابة فورية وفعالة من جميع المنظمات.
