تخيّل أنك تستخدم أداةً يومياً في مشاريعك البرمجية، أداة تثق بها تماماً لأنها مفتوحة المصدر ويستخدمها ملايين المطورين حول العالم، ثم تكتشف يوماً أن هذه الأداة بعينها كانت تسرق كل مفاتيحك السرية وتُرسلها إلى قراصنة مجهولين. هذا ليس سيناريو خيالي، بل هو ما حدث فعلاً في مارس 2026 حين شنّت مجموعة القراصنة TeamPCP واحدة من أضخم هجمات سلسلة التوريد في تاريخ الأمن السيبراني.
ما هو هجوم سلسلة التوريد؟
في الأمن السيبراني، هجوم سلسلة التوريد (Supply Chain Attack) هو استراتيجية اختراق لا تستهدفك أنت مباشرة، بل تستهدف طرفاً ثالثاً تثق به: مورد برمجيات، مكتبة مفتوحة المصدر، أداة تطوير، أو حتى شركة تقدم لك خدمة. المنطق بسيط ومرعب في آنٍ واحد:
بدل أن يكسر اللص باب بيتك المحصّن، يكسر باب جارك الذي يملك مفتاح بيتك.
المهاجمون يعرفون جيداً أن المؤسسات الكبرى تنفق الملايين على حمايتها المباشرة، لذلك يبحثون عن الحلقة الأضعف في السلسلة: قد تكون مكتبة NPM يستخدمها آلاف المطورين، أو ملحقاً في Chrome، أو حتى تحديث برنامج مشروع تماماً.
هجوم TeamPCP 2026: القصة الكاملة
بين 19 و24 مارس 2026، نفّذت مجموعة القراصنة المعروفة بـTeamPCP (ويُتتبّعها باحثو الأمن أيضاً باسمَي DeadCatx3 وShellForce) هجوماً من نوع سلسلة التوريد استهدف ثلاثة أدوات مشهورة جداً في بيئات التطوير الحديث:
| الأداة | الوظيفة | الانتشار |
|---|---|---|
| Trivy | فحص الثغرات الأمنية في Docker وKubernetes | الأكثر استخداماً عالمياً في مجالها |
| Checkmarx KICS | تحليل أمن البنية التحتية كالكود (IaC) | شركات ومؤسسات كبرى عالمياً |
| LiteLLM | بوابة API لنماذج الذكاء الاصطناعي (GPT, Claude) | ملايين المطورين حول العالم |
ثلاثة أدوات، ملايين المستخدمين، وهجوم واحد منسّق.
كيف نفّذ القراصنة الهجوم خطوة بخطوة
معلومات!
الأسلوب المستخدم كان بالغ الذكاء ويُسمى Dependency Confusion + GitHub Actions Poisoning، وهو مزيج خطير بين تقنيتين تُعدّان من أحدث طرق الاختراق في بيئات CI/CD.
- الوصول إلى بيانات اعتماد المستودع: تمكّن المهاجمون من الحصول على credentials أدوات CI/CD الخاصة بـ Trivy على GitHub.
- إعادة كتابة تاريخ الإصدارات: قاموا بعملية "force-push" على 75 وسماً (tag) موجوداً مسبقاً في مستودع aquasecurity/trivy-action، ليُشيروا إلى كود خبيث بدلاً من الكود الأصلي. هذه الحركة تعني أن المستخدمين الذين يثقون بالإصدارات القديمة أصبحوا يُشغّلون البرمجيات الخبيثة دون علمهم.
- تنفيذ البرمجيات الخبيثة داخل بيئة CI/CD: في كل مرة يُشغّل فيها مطوّر مسار CI/CD الخاص به وتتضمّن خطوة فحص الثغرات بـ Trivy، كان الـ Malware يُنفَّذ تلقائياً.
- في حالة LiteLLM: كان الكود الخبيث يُنفَّذ تلقائياً عند بدء تشغيل Python نفسه، مما يعني التنفيذ الفوري دون أي تدخل من المستخدم.
ماذا سُرق بالضبط؟
البيانات المسروقة شملت:
- مفاتيح AWS، مفاتيح GCP، مفاتيح Azure (بيانات اعتماد الحوسبة السحابية)
- رموز Kubernetes (للتحكم في البنية التحتية للحاويات)
- مفاتيح SSH الخاصة
- معلومات محافظ العملات الرقمية
- Tokens لأدوات CI/CD والمستودعات البرمجية
باختصار: كل شيء يحتاجه المهاجم للتحكم الكامل في بنيتك التحتية السحابية.
لماذا هجمات سلسلة التوريد أخطر من الاختراق المباشر؟
هناك أسباب وجيهة تجعل هذا النوع من الهجمات يُقلق حتى خبراء الأمن المخضرمين:
- الثقة العمياء: أنت تثق بالأداة لأن آلاف المطورين يستخدمونها. لا أحد يفكر في فحص أداة يعرفها ويستخدمها منذ سنوات.
- الانتشار الفوري: هجوم على أداة واحدة قد يُصيب عشرات الآلاف من المشاريع في وقت واحد.
- الصعوبة الشديدة في الكشف: الكود الخبيث يُنفَّذ داخل أداة مشروعة، ومعظم أنظمة الكشف تتجاهله.
- ناقل الهجوم غير مرئي: ليس هناك بريد تصيّد (Phishing)، لا رابط مشبوه، لا مرفق خطير. الأداة التي تثق بها هي الناقل.
- امتداد الأضرار: بمجرد الحصول على مفاتيح السحابة، يمكن للمهاجم تشفير بياناتك (Ransomware)، سرقة ملكيتك الفكرية، أو استخدام مواردك في التعدين (Cryptojacking).
أبرز هجمات سلسلة التوريد عبر التاريخ
ما حدث مع TeamPCP ليس استثناءً بل امتداد لنمط خطير متصاعد:
| الهجوم | السنة | الثغرة | التفاصيل |
|---|---|---|---|
| SolarWinds | 2020 | CVE-2020-10148 | قراصنة روس (APT29) حقنوا كود خبيث في تحديث برنامج Orion المستخدم من 18,000 مؤسسة بما فيها وكالات حكومية أمريكية |
| XZ Utils | 2024 | CVE-2024-3094 | عملية تجسس ممنهجة استمرت سنتين، مهاجم مجهول بنى ثقة وهمية ثم أدخل Backdoor في مكتبة على مستوى نظام التشغيل |
| Codecov | 2021 | --- | حقن كود خبيث في أداة تغطية الكود، أصاب بيئات CI/CD لشركات عملاقة كـ Twilio وHashiCorp وGitHub |
| npm event-stream | 2018 | --- | مطوّر سلّم إدارة حزمة شهيرة لمجهول استغلّها لسرقة بيانات محافظ Bitcoin |
| TeamPCP | 2026 | --- | اختراق Trivy وCheckmarx KICS وLiteLLM عبر GitHub Actions Poisoning وسرقة مفاتيح سحابية |
أرقام صادمة: واقع التهديد في 2026
الأرقام التالية تُظهر حجم التهديد الحقيقي الذي نواجهه اليوم:
| المؤشر | القيمة |
|---|---|
| ارتفاع هجمات ثغرات البرمجيات سنوياً | 56% لتبلغ 6.29 مليار هجوم في 2025 |
| متوسط الوقت بين اكتشاف الثغرة واستغلالها | أقل من 5 أيام |
| نسبة الثغرات المستغلة قبل نشر CVE رسمي | 32.1% (Zero-Day فعلياً) |
| تضاعف حوادث سلسلة التوريد (5 سنوات) | 4 مرات (IBM X-Force 2026) |
| نسبة الثغرات القابلة للاستغلال دون مصادقة | 56% |
| المؤسسات التي تُصنّف ثغرات AI كأسرع خطر نمواً | 87% |
كيف يفكر المهاجم: تشريح الهجوم من الداخل
لفهم كيفية الحماية، يجب أن تفهم أولاً عقلية المهاجم. إليك المراحل الخمس الكلاسيكية:
- الاستطلاع (Reconnaissance): يبحث المهاجم عن أدوات مفتوحة المصدر واسعة الانتشار مع فريق صغير يُديرها. كلما قلّ المُشرفون، ضعف الرقابة.
- الوصول الأولي (Initial Access): إما اختراق حسابات المطورين المسؤولين (Credential Theft) أو بناء ثقة تدريجية داخل المجتمع والحصول على صلاحيات الكتابة بشكل شرعي.
- الحقن الخبيث (Malicious Injection): إضافة كود خبيث بشكل يصعب اكتشافه: قد يكون في ملف واحد بين آلاف الملفات، أو في سطر واحد يبدو بريئاً.
- الانتشار الصامت (Silent Propagation): كل من يُحدّث الأداة أو يستخدمها للمرة الأولى يُصاب تلقائياً. الكود يُنفَّذ في بيئات موثوقة لا تفحصها أنظمة الحماية.
- الاستغلال (Exploitation): بعد جمع البيانات، يستخدمها المهاجم فوراً أو يبيعها في الـ Dark Web.
كيف تحمي نفسك من هجمات سلسلة التوريد؟
الحماية الكاملة مستحيلة، لكن تقليل المخاطر إلى الحد الأدنى ممكن جداً بهذه الإجراءات:
على مستوى المطوّر الفردي
- استخدم Pin للإصدارات بدقة (Version Pinning): بدلاً من الإصدار العام، اكتب الـ commit hash الدقيق. هذا يمنع تحميل إصدار معدّل حتى لو تغيرت الـ Tags.
# ❌ خطأ - لا تستخدم latest
- uses: aquasecurity/trivy-action@latest
# ❌ خطر - الوسم يمكن إعادة توجيهه
- uses: aquasecurity/[email protected]
# ✅ صحيح - استخدم الـ commit hash الدقيق
- uses: aquasecurity/trivy-action@a1b2c3d4e5f6g7h8i9j0- تحقق من Checksums: قارن hash الملف بعد تحميله مع الـ hash الرسمي المنشور.
- راجع سجلات GitHub Actions: ابحث عن أي طلبات شبكة غير متوقعة أثناء تشغيل الـ Pipelines.
- استخدم مبدأ أقل الصلاحيات (Least Privilege): لا تُعطِ أداة CI/CD صلاحيات أكثر مما تحتاج.
على مستوى المؤسسة
- Software Bill of Materials (SBOM): احتفظ بجرد شامل لكل مكوّنات برمجياتك ومصادرها.
- Zero Trust Architecture: افترض دائماً أن أي مكوّن خارجي قد يكون مخترقاً. تحقق من كل شيء.
- Dependency Monitoring: أدوات مثل Dependabot وSnyk وSocket تُنبّهك عند أي تغيير مشبوه في الحزم.
- فصل بيئات CI/CD: لا تُعطِ بيئة البناء وصولاً مباشراً إلى بيانات الإنتاج أو المفاتيح السرية.
- مراجعة دورية لـ Access Tokens: أدوّر المفاتيح بانتظام وألغِ الصلاحيات غير المستخدمة.
كيف تستفيد كصانع محتوى أو هاكر أخلاقي
إذا كنت صانع محتوى
هجمات سلسلة التوريد موضوع ذهبي للمحتوى لسببين: جمهور المطورين العرب يبحث عنه ولا يجد محتوى عربياً جيداً، والموضوع تقني كافٍ ليُعطي مصداقية، وبسيط كافٍ ليُفهم من غير متخصصين. قدّمه عبر:
- مقاطع قصيرة Reels بعنوان "كيف سرقوا AWS Keys من 50,000 مطوّر في 5 دقائق"
- Thread على X/Twitter يشرح هجوم TeamPCP خطوة بخطوة
- إنفوجرافيك يُقارن أبرز هجمات سلسلة التوريد من SolarWinds إلى 2026
إذا كنت هاكراً أخلاقياً (Ethical Hacker)
هذا النوع من الهجمات يقع ضمن تخصص AppSec وDevSecOps، من أكثر التخصصات طلباً في سوق العمل. يمكنك:
- تعلّم تقنيات Dependency Confusion Attacks في بيئات تجريبية آمنة
- الحصول على شهادات مثل CSSLP أو GWEB المتخصصة في أمن سلسلة التوريد البرمجي
- المشاركة في برامج Bug Bounty التي تشمل ثغرات CI/CD وGitHub Actions
- تقديم خدمات مراجعة أمن سلسلة التوريد للشركات الناشئة
الخاتمة
هجمات سلسلة التوريد ليست مجرد تهديد تقني يخص المطورين فحسب، إنها تعيد رسم خريطة الثقة الرقمية بأكملها. حين تكون الأداة التي تبنيها اليوم هي السلاح الذي يُستخدم ضدك غداً، فإن قواعد اللعبة تتغير جذرياً.
الدفاع الحقيقي لا يبدأ بجدران الحماية ولا بالتشفير، بل يبدأ بعقلية جديدة: لا تثق بأي شيء بشكل أعمى، حتى ما تعرفه جيداً.
شارك هذا المقال مع كل مطوّر ومهتم بالأمن السيبراني في محيطك. قد تكون هذه المعلومات الفارق بين بنية تحتية محصّنة وشركة يستيقظ أصحابها يوماً ليجدوا مفاتيحهم السحابية في يد مجهولين.
هل سمعت بهجوم سلسلة توريد آخر لم نذكره؟ شاركنا في التعليقات 👇
وللمزيد من محتوى الأمن السيبراني بالعربية، انضم إلى قناتنا على واتساب 🔐
الأسئلة الشائعة
ما الفرق بين هجوم سلسلة التوريد والاختراق التقليدي؟
في الاختراق التقليدي يستهدف المهاجم ضحيته مباشرة عبر ثغرة في أنظمتها أو عبر التصيد الاحتيالي. أما هجوم سلسلة التوريد فيستهدف طرفاً ثالثاً تثق به الضحية (مورد برمجيات، أداة، مكتبة)، مما يجعل الاكتشاف أصعب بكثير لأن الهجوم يأتي من مصدر موثوق.
هل يمكن للأفراد أن يكونوا ضحايا لهجمات سلسلة التوريد؟
نعم بالتأكيد. أي شخص يستخدم برامج أو إضافات متأثرة يصبح ضحية محتملة. المطورون معرّضون بشكل خاص عبر حزم NPM وPyPI وDocker images وGitHub Actions. المستخدمون العاديون قد يتأثرون عبر تحديثات تطبيقات مخترقة.
ما هو Version Pinning وكيف يحمي من هجمات سلسلة التوريد؟
Version Pinning يعني تحديد إصدار دقيق جداً من الأداة أو المكتبة (بما فيها الـ commit hash) بدلاً من استخدام latest أو رقم إصدار عام. هذا يضمن أن أي تعديل لاحق على الأداة لن يؤثر على مشروعك حتى لو تمت إعادة تسمية الـ Tags، كما حدث بالضبط في هجوم TeamPCP على Trivy.
ما هو SBOM وهل هو ضروري لكل مشروع؟
SBOM أو Software Bill of Materials هو قائمة شاملة لكل المكونات البرمجية في مشروعك: المكتبات، الأدوات، الاعتماديات، ومصادرها. أصبح ضرورياً خاصة في المشاريع الحكومية والمؤسسية بعد أن أصدرت الحكومة الأمريكية مراسيم تطلب توفيره. للمطورين الأفراد، يبقى ممارسة مُوصى بها لكن اختيارية.
كيف أعرف إذا كانت بيئة CI/CD الخاصة بي مخترقة؟
علامات الاختراق تشمل: طلبات شبكة غير مألوفة إلى عناوين IP مجهولة أثناء تشغيل الـ Pipeline، بطء غير مبرر في مراحل البناء، وجود متغيرات بيئة جديدة لم تُضفها، وأنشطة على حساب السحابة في أوقات غير اعتيادية. استخدم أدوات مثل GitHub Audit Log وAWS CloudTrail لمراجعة الأنشطة بشكل دوري.
المصادر:
IBM X-Force Threat Intelligence Index 2026
تقارير Aqua Security وCheckmarx الرسمية
السجلات العامة لـ GitHub Security Advisory
CVE Database (CVE-2020-10148, CVE-2024-3094)
