کمیته رکن چهارم – گروه مهاجمی که پیشتر پشت حمله زنجیره تأمین به ابزار Trivy قرار داشت، حملات خود را ادامه داده و اینبار زیرساختهای شرکت Aqua Security را هدف قرار داده است.
به گزارش کمیته رکن چهارم، مهاجمان با نفوذ مجدد به سازمان GitHub این شرکت و انتشار ایمیجهای مخرب در Docker Hub، تلاش کردهاند دامنه آلودگی را گسترش دهند. این حمله در ادامه رخداد قبلی صورت گرفته که در آن بدافزار سرقت اطلاعات در فرآیند ساخت و انتشار Trivy تزریق شده بود.
بر اساس بررسیها، ایمیجهای نسخههای ۰٫۶۹٫۵ و ۰٫۶۹٫۶ در تاریخ ۲۰۲۶-۰۳-۲۲ در Docker Hub منتشر شدهاند، در حالی که هیچ نسخه متناظری در مخزن GitHub برای آنها وجود نداشته است. این موضوع نشانهای از دستکاری در زنجیره انتشار و احتمال آلودگی این نسخهها بوده است.
همچنین مشخص شده مهاجمان در تاریخ ۲۰۲۶-۰۳-۲۰ با سوءاستفاده از ضعف در مهار حمله قبلی، بار دیگر به زیرساخت GitHub این شرکت دسترسی پیدا کردهاند.
در ادامه این نفوذ، مهاجمان با استفاده از یک اسکریپت خودکار، نام دهها مخزن را در مدت کوتاهی تغییر داده و پیامهایی در آنها ثبت کردهاند. این اقدام نشاندهنده دسترسی گسترده و کنترل قابل توجه مهاجمان بر زیرساخت توسعه بوده است.
روش نفوذ
تحلیلها نشان میدهد یک حساب سرویس با دسترسی بالا که از توکنهای دسترسی شخصی استفاده میکرد، به خطر افتاده است. این نوع توکنها معمولاً عمر طولانی دارند و در بسیاری از موارد فاقد مکانیزمهای امنیتی قوی هستند، که آنها را به هدفی مناسب برای مهاجمان تبدیل میکند.
احتمال میرود این اطلاعات دسترسی از طریق بدافزار سرقت اطلاعاتی که در مراحل قبلی حمله اجرا شده، استخراج شده باشد.
وضعیت فعلی
شرکت Aqua Security اعلام کرده است که در حال حاضر نسخههای امن ابزار منتشر شده و بررسیهای بیشتر با همکاری یک شرکت امنیتی در حال انجام است. همچنین تأکید شده نسخههای مورد استفاده در محصولات تجاری این شرکت تحت تأثیر این رخداد قرار نگرفتهاند.
پیشزمینه
کارشناسان این رخداد را نمونهای از پیچیدگی روزافزون حملات زنجیره تأمین میدانند؛ جایی که مهاجمان پس از نفوذ اولیه، با حفظ دسترسی یا بازگشت مجدد، میتوانند حملات خود را گسترش دهند.
این حادثه بار دیگر اهمیت مدیریت صحیح دسترسیها، استفاده از احراز هویت چندمرحلهای و پایش مداوم زیرساختهای توسعه را برجسته میکند.
