في عالم يتزايد فيه الاعتماد على التكنولوجيا، يمثل خرق الشيفرة المصدرية لشركة Trellix تحذيرًا بشأن المخاطر المحتملة في سلسلة التوريد.
أصدرت شركة Trellix المتخصصة في الأمن السيبراني بيانًا مقتضبًا يوم الجمعة الماضي، كشفت فيه أن أحد المهاجمين تمكن من الوصول غير المصرح به إلى “جزء من مستودع الشيفرة المصدرية لدينا.” لم تكشف Trellix عن الجزء الذي تم اختراقه وقدم القليل من التفاصيل حول الخرق.
“استنادًا إلى تحقيقاتنا حتى الآن، لم نجد أي دليل على أن عملية إصدار أو توزيع الشيفرة المصدرية لدينا قد تأثرت، أو أن شيفرتنا المصدرية قد تم استغلالها،” قالت الشركة في بيانها. “كجزء من التزامنا تجاه مجتمع الأمن الأوسع، نعتزم مشاركة المزيد من التفاصيل عند الانتهاء من تحقيقنا.”
قالت Trellix إنها بدأت على الفور العمل مع “خبراء جنائيين رائدين” للتحقيق في الخرق وأبلغت أيضًا سلطات إنفاذ القانون. لكن لا تزال هناك العديد من الأسئلة، بما في ذلك مكان وجود المستودع، وكيف تم اختراقه، ومن يقف وراء الهجوم.
تواصلت Dark Reading مع Trellix للحصول على مزيد من التعليقات، لكن الشركة رفضت.
يعتبر خرق Trellix أحدث هجوم على سلسلة التوريد يؤثر على صناعة الأمن السيبراني. في مارس، قامت مجموعة تهديد تُعرف باسم TeamPCP باختراق Trivy، وهو ماسح مفتوح المصدر تحت رعاية Aqua Security، وKICS، وهو أداة تحليل الشيفرة المصدرية مفتوحة المصدر تم تطويرها بواسطة CheckMarx.
في كلا الهجومين، استهدفت مجموعة TeamPCP سير عمل GitHub Actions لدفع إصدارات مسمومة من الأدوات مفتوحة المصدر. في هذه المرحلة، لا توجد مؤشرات على أن TeamPCP مرتبطة بخرق Trellix، ولم يدعي أي مهاجم المسؤولية عن الهجوم. ولكن بغض النظر عن هوية الخصم، فإن خروقات الشيفرة المصدرية لمزودي الأمن يمكن أن تحمل مخاطر كبيرة للعملاء في المراحل التالية.
فوضى سلسلة التوريد الأمنية
في الهجمات الأخيرة من TeamPCP، استخدمت المجموعة التهديدية الأسرار CI/CD التي تم الحصول عليها من خرق مستودع واحد للوصول إلى مستودعات منظمات أخرى، مكررة الدورة عدة مرات خلال الحملة المستمرة. يمكن أن تشمل أسرار CI/CD بيانات الاعتماد، مفاتيح SSH، مفاتيح توقيع الإصدارات، ورموز GitHub Action.
لا تعتبر TeamPCP المجموعة التهديدية الوحيدة التي تستهدف شيفرات مزودي الأمن؛ في أكتوبر 2025، كشفت F5 Networks أن أحد المهاجمين المدعومين من دولة ما قد اخترق بيئة تطوير منتجاتها وحصل على بيانات حساسة لخط منتجات BIG-IP الرائد، بما في ذلك الشيفرة المصدرية. وفي عام 2022، تعرضت كل من Okta وLastpass لخرق حيث تمكن المهاجمون من الوصول إلى الشيفرة المصدرية للمنتجات.
من غير الواضح ما هي الآثار التي قد تترتب على خرق Trellix بالنسبة للشركة وعملائها.
“يعتمد الخطر على ما حصل عليه المهاجمون فعليًا وما إذا كان بإمكانهم التلاعب بعملية البناء أو الإصدار،” يقول رافائيل سيلفا، الباحث في Aikido Security، لـ Dark Reading. “إذا كان الوصول فقط للقراءة إلى جزء من مستودع، فإن القلق الرئيسي للعملاء في المراحل التالية سيكون إذا كان نفس الوصول قد شمل أيضًا أي وصول CI/CD، مفاتيح التوقيع، بيانات اعتماد نشر الحزم، وما إلى ذلك. بشكل أساسي، القدرة على تعديل ما يتم شحنه للمستخدمين النهائيين.”
لحسن الحظ، استنادًا إلى ما شاركته Trellix حتى الآن، لا توجد مؤشرات على أن المهاجمين حصلوا على هذا النوع من الوصول، كما يقول سيلفا.
ومع ذلك، يمكن أن يوفر خرق الشيفرة المصدرية خريطة لتخطيط منتج أمني، مثل مواقع التحكم وكيفية تصميم الاكتشافات. يمكن أن تعطي هذه المعلومات المهاجمين ميزة، كما يقول إسحاق إيفانز، مؤسس ومدير تنفيذي لشركة Semgrep للأمن التطبيقي.
“حتى لو تم اكتشاف الخرق، قد لا يكون من السهل إزالة وصول المهاجم،” يضيف إيفانز. “على سبيل المثال، في خرق Aqua Security [Trivy] من وقت سابق من هذا العام، استجابت الدفاعات الأولية وما زالت تسمح للمهاجمين بتعديل الشيفرة المصدرية بعد أن تم تنبيه المدافعين.”
تظل تداعيات هذا الخرق قيد التحقيق، ولكن من الواضح أن التهديدات في سلسلة التوريد تحتاج إلى اهتمام جاد من جميع المعنيين في مجال الأمن السيبراني.
