لمدة 93 دقيقة، حوّل تثبيت واجهة سطر الأوامر 'الرسمية' لـ Bitwarden أجهزة الكمبيوتر المحمولة إلى منصات إطلاق لاختطاف حسابات GitHub
في الثاني والعشرين من أبريل، ظهرت نسخة خبيثة من واجهة سطر الأوامر الخاصة بـ Bitwarden على npm تحت اسم الحزمة الرسمي @bitwarden/cli@2026.4.0. ولمدة 93 دقيقة، تلقّى كل من سحب واجهة سطر الأوامر عبر npm نسخة مزوّدة بباب خلفي بدلاً من الأداة الشرعية.
اكتشف Bitwarden الاختراق، وأزال الحزمة، وأصدر بياناً أفاد فيه بعدم وجود أي دليل على أن المهاجمين تمكّنوا من الوصول إلى بيانات خزائن المستخدمين أو اختراق أنظمة الإنتاج.
حلّلت شركة الأبحاث الأمنية JFrog الحمولة الخبيثة ووجدت أنها لم تُبدِ اهتماماً خاصاً بخزائن Bitwarden. وكانت تستهدف رموز GitHub، ورموز npm، ومفاتيح SSH، وسجل الأوامر، وبيانات اعتماد AWS، وبيانات اعتماد GCP، وبيانات اعتماد Azure، وأسرار GitHub Actions، وملفات تهيئة أدوات الذكاء الاصطناعي.
هذه هي بيانات الاعتماد التي تتحكم في كيفية بناء الفرق لبنيتهم التحتية ونشرها والوصول إليها.
| السر / نوع البيانات المستهدف | مكان تواجده عادةً | أهميته التشغيلية |
|---|---|---|
| رموز GitHub | أجهزة الكمبيوتر المحمولة للمطورين، الإعداد المحلي، بيئات CI | يمكن أن تُتيح الوصول إلى المستودعات، وإساءة استخدام سير العمل، وسرد الأسرار، والتحرك الجانبي عبر الأتمتة |
| رموز npm | الإعداد المحلي، بيئات الإصدار | يمكن استخدامها لنشر حزم خبيثة أو تعديل تدفقات الإصدار |
| مفاتيح SSH | أجهزة المطورين، مضيفو البناء | يمكن أن تُتيح الوصول إلى الخوادم والمستودعات الداخلية والبنية التحتية |
| سجل الأوامر | الأجهزة المحلية | يمكن أن يكشف عن أسرار مُلصقة وأوامر وأسماء مضيفين داخلية وتفاصيل سير العمل |
| بيانات اعتماد AWS | ملفات الإعداد المحلية، المتغيرات البيئية، أسرار CI | يمكن أن تكشف عن أحمال العمل السحابية والتخزين وأنظمة النشر |
| بيانات اعتماد GCP | ملفات الإعداد المحلية، المتغيرات البيئية، أسرار CI | يمكن أن تكشف عن مشاريع وخدمات السحابة وخطوط أنابيب الأتمتة |
| بيانات اعتماد Azure | ملفات الإعداد المحلية، المتغيرات البيئية، أسرار CI | يمكن أن تكشف عن البنية التحتية السحابية وأنظمة الهوية ومسارات النشر |
| أسرار GitHub Actions | بيئات CI/CD | يمكن أن تمنح الوصول إلى الأتمتة ومخرجات البناء وعمليات النشر والأسرار الفرعية |
| أدوات الذكاء الاصطناعي / ملفات الإعداد | أدلة المشاريع، بيئات التطوير المحلية | يمكن أن تكشف عن مفاتيح API والنقاط الداخلية وإعدادات النماذج وبيانات الاعتماد ذات الصلة |
يخدم Bitwarden أكثر من 50,000 شركة و10 ملايين مستخدم، وتصف وثائقه الرسمية واجهة سطر الأوامر بأنها طريقة "قوية ومتكاملة الميزات" للوصول إلى الخزائن وإدارتها، بما في ذلك في سير العمل الآلي الذي يُجري المصادقة باستخدام المتغيرات البيئية.
يُدرج Bitwarden npm باعتباره أبسط طريقة تثبيت مفضّلة للمستخدمين المعتادين على السجل. ويضع هذا المزيج من استخدام الأتمتة والتثبيت على أجهزة المطورين والتوزيع الرسمي عبر npm واجهةَ سطر الأوامر في المكان الذي تتواجد فيه بالضبط أسرار البنية التحتية ذات القيمة العالية.
يُظهر تحليل JFrog أن الحزمة الخبيثة أعادت توصيل كلٍّ من خطاف preinstall ونقطة دخول الملف الثنائي bw إلى محمّل جلب بيئة تشغيل Bun وأطلق حمولة مُشفَّرة. يُنفَّذ الاختراق عند وقت التثبيت وعند وقت التشغيل.
يمكن لمنظمة ما تشغيل واجهة سطر الأوامر المزوّدة بالباب الخلفي دون المساس بأي كلمات مرور مخزّنة، في حين يقوم البرنامج الخبيث بجمع بيانات الاعتماد التي تحكم خطوط أنابيب CI وحسابات السحابة وأتمتة النشر بصورة منهجية.
تقول شركة الأمن Socket إن الهجوم يبدو أنه استغلّ GitHub Action مخترقاً في خط أنابيب CI/CD الخاص بـ Bitwarden، وهو ما يتسق مع نمط يتتبعه باحثو Checkmarx.
أكّد Bitwarden أن الحادثة مرتبطة بحملة سلسلة التوريد الأشمل لـ Checkmarx.
عنق الزجاجة في الثقة
بنى npm نموذجه للنشر الموثوق للتعامل تحديداً مع هذه الفئة من المخاطر.
من خلال استبدال رموز npm publish طويلة الأمد بمصادقة CI/CD المستندة إلى OIDC، يُزيل النظام أحد أكثر المسارات شيوعاً التي يستخدمها المهاجمون لاختطاف إصدارات السجل، ويوصي npm بالنشر الموثوق ويعتبره خطوة مهمة للأمام.
أما السطح الأصعب فهو منطق الإصدار ذاته، كسير العمل والإجراءات التي تستدعي خطوة النشر. توصي وثائق npm بضوابط تتجاوز OIDC، مثل بيئات النشر ذات متطلبات الموافقة اليدوية وقواعد حماية الوسوم وقيود الفروع.
| الطبقة في سلسلة الثقة | ما يُفترض أنها تضمنه | ما يمكن أن يسوء |
|---|---|---|
| مستودع المصدر | قاعدة الكود المقصودة موجودة في المستودع المتوقع | قد لا يحتاج المهاجمون إلى تعديل قاعدة الكود الرئيسية مباشرةً |
| سير عمل CI/CD | يُؤتمت عمليات البناء والإصدار من المستودع | إذا تعرّض للاختراق، فيمكنه إنتاج ونشر قطعة خبيثة |
| GitHub Actions / منطق الإصدار | ينفّذ الخطوات التي تبني وتنشر البرنامج | يمكن أن يحوّل إجراء مُسمَّم أو سير عمل مُساء استخدامه مسارَ الإصدار المشروع إلى مسار خبيث |
| النشر الموثوق عبر OIDC | يستبدل رموز السجل طويلة الأمد بمصادقة قصيرة الأمد مستندة إلى الهوية | يُثبت أن سير عمل معتمداً نشر الحزمة، لكنه لا يُثبت أن سير العمل نفسه كان آمناً |
| مسار الحزمة الرسمية على npm | يوزّع البرامج تحت اسم الحزمة المتوقع | قد يتلقى المستخدمون برامج خبيثة إذا تعرّض مسار النشر الرسمي للاختراق |
| جهاز المطوّر / مشغّل CI | يستهلك الحزمة الرسمية | يمكن للبرامج الخبيثة عند وقت التثبيت أو التشغيل جمع الأسرار المحلية والسحابية وأسرار الأتمتة |
تتيح إعدادات بيئة GitHub للمنظمات اشتراط موافقة المراجعين قبل نشر سير العمل. يذهب إطار SLSA أبعد من ذلك بمطالبة المستهلكين بالتحقق من مطابقة البيانات الاستباقية للمعاملات المتوقعة، مثل المستودع الصحيح والفرع والوسم وسير العمل وتهيئة البناء.
تُظهر حادثة Bitwarden أن المشكلة الأصعب تكمن في طبقة سير العمل. إذا تمكّن المهاجم من استغلال سير عمل الإصدار نفسه، فإن شارة "الرسمي" لا تزال مرفقة بالحزمة الخبيثة.
يُحوّل النشر الموثوق عبء الثقة إلى أعلى نحو سلامة سير العمل والإجراءات التي تستدعيه، وهي طبقة تركتها المنظمات إلى حدٍّ بعيد دون فحص.
رمز واحد لأبواب عديدة
بالنسبة لفرق المطورين والبنية التحتية، يكشف سير عمل الإصدار المخترق عن خطوط أنابيب CI والبنية التحتية للأتمتة وبيانات الاعتماد التي تحكمها.
يُظهر تحليل JFrog أنه بمجرد حصول البرنامج الخبيث على رمز GitHub، تمكّن من التحقق من صلاحية الرمز، وتعداد المستودعات القابلة للكتابة، وسرد أسرار GitHub Actions، وإنشاء فرع، وإرسال سير عمل، والانتظار حتى تنفيذه، وتنزيل القطع الناتجة، ثم التنظيف.
يُنشئ الحصول على الرمز سلسلة آلية تحوّل بيانات اعتماد مسروقة واحدة إلى وصول دائم عبر البنية التحتية للأتمتة بأكملها في المنظمة.
يصبح الكمبيوتر المحمول للمطوّر الذي يثبّت حزمة رسمية مُسمَّمة جسراً من مخزن بيانات الاعتماد المحلي للمضيف إلى الوصول إلى GitHub وكل ما يمكن أن يصله رمز GitHub ذاك.
حادثة Bybit تُعدّ قياساً هيكلياً وثيق الصلة. إذ أتاح محطة عمل مطوّر مخترقة للمهاجمين تسميم واجهة رفيعة المستوى موثوقة، والتي وصلت بعد ذلك إلى العملية التشغيلية للضحية.
الفرق هو أن Bybit تضمّنت واجهة مستخدم ويب Safe مُلاعَباً بها، في حين تضمّنت Bitwarden حزمة npm رسمية مُلاعَباً بها.
في بيئات التشفير أو التكنولوجيا المالية أو حضانة الأصول، يمكن أن يمتد هذا المسار من مخزن بيانات الاعتماد إلى موقّعي الإصدار والوصول السحابي وأنظمة النشر دون المساس بأي إدخال في الخزائن.
في غضون 60 يوماً، كشف Checkmarx عن سير عمل GitHub Actions مخترقة وإضافات OpenVSX، في حين حذّر تحالف أمن السحابة من أن حملة TeamPCP كانت تعمل بنشاط على اختراق المشاريع مفتوحة المصدر ومكوّنات أتمتة CI/CD.
وثّق JFrog كيف سرّب إجراء Trivy GitHub Action المخترق رمز نشر LiteLLM وأتاح إصدارات PyPI خبيثة، وكشف Axios أن نسختَين خبيثتَين من npm تداولتا لنحو ثلاث ساعات عبر حساب مشرف مخترق.
أحصت Sonatype أكثر من 454,600 حزمة خبيثة جديدة في عام 2025 وحده، ليرتفع الإجمالي التراكمي إلى أكثر من 1.2 مليون. ينضم Bitwarden إلى سلسلة من الحوادث التي تؤكد أن سير عمل الإصدار وسجلات الحزم هي سطح الهجوم الأساسي.
| التاريخ / الفترة | الحادثة | نقطة الثقة المخترقة | أهميتها |
|---|---|---|---|
| 23 مارس 2026 | كشف Checkmarx عن سير عمل GitHub Actions مخترقة وإضافات OpenVSX | سير عمل GitHub Actions، توزيع أدوات المطورين | يُظهر استهداف المهاجمين لأتمتة المنبع وقنوات الأدوات الموثوقة |
| ضمن نافذة الحملة ذاتها | سلسلة Trivy / LiteLLM الموثّقة بواسطة JFrog | إجراء GitHub Action مخترق يؤدي إلى سرقة الرموز وإصدارات PyPI خبيثة | يُبيّن كيف يمكن لمكوّن أتمتة مُسمَّم واحد أن يتسلسل إلى إساءة استخدام نشر الحزم |
| 31 مارس 2026 | نسخ npm الخبيثة من Axios | حساب مشرف مخترق | يُظهر أن أسماء الحزم الرسمية يمكن أن تصبح ناقلات هجوم من خلال اختراق على مستوى الحساب |
| 22 أبريل 2026 | إصدار npm الخبيث لـ Bitwarden CLI | مسار توزيع npm الرسمي لأداة أمنية | يُظهر أن حزمة موثوقة يمكن أن تكشف أسرار البنية التحتية دون المساس بمحتويات الخزائن |
| إجمالي 2025 | إحصاء البرامج الخبيثة من Sonatype | النظام البيئي للحزم مفتوحة المصدر بشكل عام | يشير إلى حجم نشاط الحزم الخبيثة وسبب كون ثقة السجل مخاطرة استراتيجية الآن |
لم يُكشف بعد عن السبب الجذري الدقيق، إذ أكّد Bitwarden ارتباطاً بحملة Checkmarx لكنه لم ينشر تفصيلاً دقيقاً لكيفية حصول المهاجم على الوصول إلى خط أنابيب الإصدار.
نتائج الهجوم
أقوى نتيجة للمدافعين هي أن هذه الحادثة تُعجّل بإعادة تعريف معنى كلمة "رسمي".
اليوم، يُرفق النشر الموثوق بيانات الاستناد بكل حزمة مُصدَرة، مما يؤكد هوية الناشر في السجل. يوثّق إطار SLSA صراحةً معياراً أعلى للمُتحقّقين للتحقق من مطابقة الاستناد للمستودع المتوقع والفرع وسير العمل ومعاملات البناء.
إذا أصبح هذا المعيار سلوكاً افتراضياً للمستهلكين، فستبدأ كلمة "رسمي" تعني "مبنيّ بسير العمل الصحيح وفق القيود الصحيحة"، ومهاجم يخترق إجراءً لكنه لا يستطيع استيفاء كل قيود الاستناد سيُنتج حزمة يرفضها المستهلكون الآليون قبل وصولها.
المسار الأكثر احتمالاً على المدى القريب يسير في الاتجاه المعاكس. أثبت المهاجمون عبر ما لا يقل عن 4 حوادث في 60 يوماً أن سير عمل الإصدار وتبعيات الإجراءات وبيانات الاعتماد المجاورة للمشرفين تُحقق نتائج عالية القيمة مع احتكاك منخفض نسبياً.
تُضيف كل حادثة متعاقبة تقنية موثّقة أخرى إلى دليل عملي عام لاختراق الإجراءات وسرقة الرموز من مخرجات CI واختطاف حسابات المشرفين وإساءة استخدام مسار النشر الموثوق.
ما لم يصبح التحقق من الاستناد سلوكاً افتراضياً للمستهلكين بدلاً من طبقة سياسة اختيارية، ستظل أسماء الحزم الرسمية تحظى بثقة أكبر مما تستطيع عمليات إصدارها تبريره.
نُشر هذا المقال في الأصل على CryptoSlate تحت عنوان: لمدة 93 دقيقة، حوّل تثبيت واجهة سطر الأوامر "الرسمية" لـ Bitwarden أجهزةَ الكمبيوتر المحمولة إلى منصات إطلاق لاختطاف حسابات GitHub.
قد يعجبك أيضاً
تلف بيانات PEPE يخلق منطقة تداول ميتة – انتظر الاستعادة التقنية قبل الدخول
استجابة عدوى DeFi: مانتل تتحرك لتعويض الديون المعدومة الناجمة عن استغلال Aave
