بداية الهجوم واستغلال ثغرات GitHub Actions
بدأ الهجوم في 11 مايو 2026، عندما نشر مجموعة تهديد تسمى TeamPCP حزمًا خبيثة في مستودعات البرامج. وتعد TeamPCP مجموعة تهديد مدفوعة ماليًا، مسؤولة عن هجمات سابقة في سلسلة التوريد مثل تلك التي استهدفت Trivy وCheckmarx KICS.
كتب رامي مكارثي، الباحث الرئيسي في الأمن في شركة Wiz، على منصة LinkedIn: "فريق الأبحاث في Wiz استجاب طوال الليل لأحدث موجات نشاط TeamPCP. تمكن المهاجمون من استغلال ثغرة في GitHub Actions لنشر إصدارات خبيثة من حزم TanStack الشهيرة على npm. بعد ذلك، شهدنا انتشارًا إضافيًا للهجمات في حزم مثل @opensearch-project/opensearch و@uipath/ و@mistralai/ وguardrails-ai وغيرها عبر كل من npm وPyPI."
وفقًا لتحليل Wiz، استغل المهاجمون ثلاث ثغرات في GitHub Actions. وقاموا بإنشاء نسخة من مستودع TanStack وأعادوا تسميته لتفادي الكشف من خلال عمليات البحث عن النسخ. ثم أدى طلب سحب إلى تشغيل الكود الخاص بالمهاجمين، مما أدى إلى تسميم ذاكرة التخزين المؤقت لـ GitHub Actions بمخزن pnpm خبيث.
سرقة بيانات الاعتماد واستهداف بنية الذكاء الاصطناعي
عندما تم دمج طلبات السحب الشرعية مع الفرع الرئيسي، استرجع عملية الإصدار ذاكرة التخزين المؤقت المسمومة. واستخرج الكود الخاضع لسيطرة المهاجمين رموز OpenID Connect من ذاكرة مشغل GitHub Actions. مكنت الرموز المسروقة من نشر إصدارات حزم خبيثة، مما سمح للمهاجمين بتجاوز استخدام بيانات اعتماد تسجيل الدخول إلى npm بالكامل.
أوضحت Wiz أن الحزم الخبيثة احتوت على ناقلين للعدوى: أحدهما أشار إلى التزام خبيث ينفذ حمولة، بينما حمل ملف مخفي بحجم 2.3 ميجابايت اسمه router_init.js برنامج سرقة بيانات الاعتماد. تستهدف الحمولة رموز CI/CD، بيانات اعتماد السحابة، حسابات الخدمات في Kubernetes، HashiCorp Vault، ورموز سجلات الحزم. ثم تنشر رموز npm المسروقة حزمًا خبيثة إضافية عبر المستودعات التي يمتلك الضحايا حق الكتابة فيها، مما يؤدي إلى انتشارها مثل الدودة.
OpenAI تؤكد اختراق أنظمة الموظفين
أكدت شركة OpenAI أن اثنين من موظفيها في بيئتها المؤسسية قد تأثرا. ولاحظت الشركة نشاطًا يتوافق مع سلوك البرامج الضارة في جزء محدود من مستودعات الكود الداخلية.
قالت الشركة: "عند اكتشاف النشاط الخبيث، عملنا بسرعة على التحقيق واحتوائه واتخاذ خطوات لحماية أنظمةنا". عزلت الشركة الأنظمة والهويات المتأثرة، وألغت الجلسات النشطة، ودارت بيانات الاعتماد عبر المستودعات المتأثرة. كما قيدت الشركة مؤقتًا تدفقات نشر الكود وفحصت سلوك المستخدمين وبيانات الاعتماد.
أضافت OpenAI: "خلال تحقيقنا، لم نلاحظ أي دليل على تأثير بيانات العملاء أو الملكية الفكرية، كما لم نكتشف أي سوء استخدام لبيانات الاعتماد المسروقة أو وصول لاحق من قبل المهاجم". وحذرت الشركة جميع مستخدمي Mac من تحديث تطبيقات OpenAI إلى أحدث الإصدارات، بما في ذلك ChatGPT Desktop وCodex App وCodex CLI وAtlas.
قدرات الدودة وانتشارها عبر النظام البيئي
أوضحت Wiz أن البرامج الضارة تعمل كدودة ذاتية الانتشار عبر نظام npm البيئي. تمكّن بيانات الاعتماد المسروقة من نشر حزم خبيثة تلقائيًا إلى مستودعات إضافية. ومن المثير للاهتمام، أن البرامج الضارة تتحقق مما إذا كانت الأنظمة مضبوطة باللغة الروسية، وتنهي عملها دون تسريب البيانات عند اكتشاف إعدادات اللغة الروسية.
أكدت TanStack في بيان لها: "بعد ثلاثة أيام من فحص أمني شامل وتعزيزات، نعلن عن انتهاء فحص أمن مستودع TanStack وحزمه". تعتمد شركات الذكاء الاصطناعي، مثل معظم الشركات التي تعتمد على البرمجيات، على مستودعات المصدر المفتوح لتطوير ونشر نماذجها. وقد يعني هذا الاختراق أن شركات الذكاء الاصطناعي تواجه تعرضًا من خلال تبعيات البرامج التي تتجاوز الضوابط الأمنية الداخلية.
