أمن سلسلة توريد البرمجيات في الجزائر: خمس ممارسات تجعلها اختراق Trivy ملحّة

هجوم Trivy: ماسح أمني تحوّل إلى سلاح

في أواخر فبراير 2026، استغل الفاعل التهديدي TeamPCP خطأً في تكوين بيئة GitHub Actions الخاصة بـ Trivy، وهو ماسح أمني مفتوح المصدر واسع الاستخدام طوّرته Aqua Security. الثغرة، المسجّلة الآن تحت CVE-2026-33634 بدرجة خطورة CVSS حرجة تبلغ 9.4، منحت المهاجمين رمز وصول ذا صلاحيات عالية. بعد أن تبيّن أن احتواء Aqua Security الأولي كان ناقصاً — إذ لم يكن تدوير بيانات الاعتماد ذرياً، أي لم تُلغَ جميع بيانات الاعتماد في وقت واحد — ضرب TeamPCP مجدداً.

في 19 مارس، استخدموا بيانات اعتماد مخترقة لا تزال فعّالة لنشر إصدار خبيث Trivy v0.69.4 ودفعوا بالقوة 76 من أصل 77 علامة إصدار في مستودع trivy-action على GitHub نحو برمجية خبيثة لسرقة بيانات الاعتماد. استخرج البرنامج الخبيث المدمج الأسرار من ذاكرة مشغّلات CI/CD — بيانات اعتماد AWS وGCP وAzure، ومفاتيح SSH، وكلمات مرور قواعد البيانات، ورموز Kubernetes — بينما استمر فحص Trivy الشرعي في العمل بشكل طبيعي. كقناة استخراج احتياطية، استخدمت البرمجية الخبيثة رموز GitHub المسروقة لإنشاء مستودعات عامة في حسابات الضحايا أنفسهم ورفعت البيانات المسروقة المشفّرة كأصول إصدار.

اكتشفت المفوضية الأوروبية، التي كانت تشغّل نسخة Trivy المخترقة في خط أنابيب CI/CD الخاص بها، نشاطاً غير طبيعي في واجهة برمجة تطبيقات AWS في 24 مارس. بحلول ذلك الوقت، كان قد تم استخراج نحو 340 غيغابايت من البيانات غير المضغوطة — تشمل أسماءً شخصية وعناوين بريد إلكتروني ورسائل من ما يصل إلى 71 جهة تابعة للاتحاد الأوروبي — من خدمة استضافة الويب Europa.eu. قدّرت Mandiant أن أكثر من 1,000 بيئة SaaS تأثرت. كما طالت الحملة Checkmarx KICS وLiteLLM، مما يثبت أن اختراقاً واحداً لسلسلة التوريد يمكن أن ينتشر عبر منظومة كاملة.

لماذا يجب على الجزائر الانتباه الآن

يمر المشهد السيبراني في الجزائر بلحظة محورية. الاستراتيجية الوطنية للأمن السيبراني 2025-2029، المعتمدة بالمرسوم الرئاسي رقم 25-321 في ديسمبر 2025، تحدد أربعة أهداف استراتيجية: أنظمة معلومات مرنة، ومنظومة وطنية للأمن السيبراني، وموارد بشرية مؤهلة، وتعاون دولي. بعد أسبوع واحد، ألزم المرسوم الرئاسي رقم 26-07 كل مؤسسة عمومية بإنشاء وحدة أمن سيبراني مخصصة تتبع مباشرة لقيادة المؤسسة وتنسّق مع ASSI، وكالة أمن أنظمة المعلومات التابعة لوزارة الدفاع الوطني.

في الوقت نفسه، يتسارع التحول الرقمي في الجزائر. أطلقت الحكومة أكثر من 500 مشروع رقمي للفترة 2025-2026، منها 75% مخصصة لتحديث الخدمات العمومية. تطوّر الجامعات توزيعة Linux وطنية. يساهم المطورون الجزائريون بشكل متزايد في البرمجيات مفتوحة المصدر ويستخدمونها — وقد تعرّض البلد لأكثر من 70 مليون هجوم سيبراني في 2024، محتلاً المرتبة 17 عالمياً بين الدول الأكثر استهدافاً.

هذه البصمة المتنامية في عالم المصادر المفتوحة تمثّل نقطة قوة — فهي تقلل الاعتماد على المورّدين، وتبني المهارات المحلية، وتسرّع الابتكار. لكن اختراق Trivy يُظهر أن تبني المصادر المفتوحة دون نظافة سلسلة التوريد يخلق نقاطاً عمياء. الخبر المشجع: يمكن للمؤسسات الجزائرية أن تسبق هذا الخطر باعتماد ممارسات مثبتة الآن، بينما لا يزال الإطار المؤسسي قيد البناء.

خمس ممارسات يمكن للفرق الجزائرية اعتمادها اليوم

1. تثبيت التبعيات على مراجع غير قابلة للتغيير

نجح مهاجمو Trivy لأن المؤسسات كانت تشير إلى GitHub Actions بعلامات إصدار قابلة للتغيير. عندما تم دفع تلك العلامات بالقوة نحو commits خبيثة، سحب كل خط أنابيب CI/CD يشير إليها الكود المخترق بصمت.

ما يجب فعله: ثبّت جميع GitHub Actions وصور الحاويات وتبعيات الحزم على تجزئات SHA محددة أو بصمات تشفيرية — وليس أبداً على علامات إصدار أو تسميات “latest”. على سبيل المثال، استخدم `aquasecurity/trivy-action@57a97c7e` بدلاً من `aquasecurity/trivy-action@v1`. المؤسسات التي ثبّتت مراجعها على SHA لم تتأثر بهذا الهجوم.

2. إنشاء ومراقبة قوائم مكونات البرمجيات (SBOM)

قائمة مكونات البرمجيات (SBOM) هي جرد لكل مكوّن في برمجياتك. عند الكشف عن ثغرة مثل CVE-2026-33634، يتيح لك SBOM محدّث الإجابة في دقائق: «هل نحن متأثرون؟» بدونه، تقضي الفرق أياماً أو أسابيع في تدقيق الأنظمة يدوياً.

ما يجب فعله: ادمج توليد SBOM في خط أنابيب CI/CD الخاص بك باستخدام تنسيقات SPDX أو CycloneDX. أتمت المراقبة المستمرة بحيث تتم مطابقة الثغرات المكتشفة حديثاً تلقائياً مع جرد مكوناتك. سيتطلب قانون المرونة السيبرانية الأوروبي وجود SBOM لجميع المنتجات المباعة في أوروبا بحلول ديسمبر 2027 — المصدّرون والشركاء التقنيون الجزائريون يستفيدون من التبني المبكر.

3. اعتماد إثبات مصدر البناء عبر SLSA

Supply-chain Levels for Software Artifacts (SLSA)، يُنطق «سالسا»، هو إطار عمل طوّرته Google في الأصل ويحكمه الآن Open Source Security Foundation. حقق مؤخراً مرتبة Graduated في OpenSSF، مما يعكس نضجه واعتماده الواسع. يحدد SLSA v1.0 ثلاثة مستويات تصاعدية لسلامة البناء — من توليد إثبات المصدر الأساسي (المستوى 1) إلى منصات بناء محصّنة مقاومة للتلاعب (المستوى 3).

ما يجب فعله: ابدأ بمستوى SLSA Build Level 1 — تأكد من أن جميع عمليات البناء تنطلق من كود مصدري خاضع للتحكم في الإصدارات مع عمليات بناء مبرمجة وقابلة للتدقيق تنتج بيانات وصفية لإثبات المصدر. تقدّم نحو المستوى 2 باستخدام منصة بناء مستضافة تولّد إثبات مصدر موثّق وغير قابل للتزوير. حتى التبني الجزئي لـ SLSA كان سيساعد المؤسسات في التحقق من أن ملفات Trivy الثنائية المستلمة تطابق عملية البناء المتوقعة.

4. فرض التدوير الذري لبيانات الاعتماد

كان الإخفاق الرئيسي في حادثة Trivy أن تدوير بيانات الاعتماد بعد الاختراق الأولي لم يكن ذرياً. بقيت بعض بيانات الاعتماد صالحة، مما أتاح لـ TeamPCP النافذة اللازمة لشن هجومهم الثاني الأشد تدميراً في 19 مارس.

ما يجب فعله: طوّر وتدرّب على خطة استجابة للحوادث تعامل تدوير بيانات الاعتماد كعملية كل شيء أو لا شيء. عند الاشتباه في اختراق، ألغِ جميع الرموز ومفاتيح API وبيانات اعتماد الوصول المحتمل تأثرها في وقت واحد قبل إصدار بدائل. اختبر هذه العملية بانتظام من خلال تمارين محاكاة. يجب على وحدات الأمن السيبراني الجديدة التي فرضها المرسوم 26-07 بناء هذه القدرة منذ اليوم الأول.

5. التحقق من أدوات الأمان بنفس صرامة التعامل مع تبعيات التطبيقات

المفارقة الأعمق في اختراق Trivy أن Trivy نفسه ماسح أمني — أداة تثق بها المؤسسات لحمايتها. استهدف TeamPCP عمداً أدوات الأمان لأنها تعمل عادةً بصلاحيات مرتفعة في بيئات CI/CD.

ما يجب فعله: طبّق على أدوات الأمان نفس التحقق القائم على انعدام الثقة (zero-trust) الذي تطبقه على تبعيات التطبيقات. راقب قنوات تحديث ماسحاتك الأمنية، وتحقق من توقيعات المخرجات، ونبّه عند تغييرات الإصدار غير المتوقعة. لا ينبغي إعفاء أي أداة من التحقق مهما كانت سمعتها موثوقة.

الميزة المؤسسية للجزائر

تبني الجزائر إطارها للأمن السيبراني في الوقت المناسب تماماً. الاستراتيجية 2025-2029، والتفويض التشغيلي لـ ASSI، ومتطلب المرسوم 26-07 بإنشاء وحدات أمن سيبراني مخصصة توفر للبلاد أساساً مؤسسياً افتقرت إليه دول كثيرة عندما واجهت هجمات سلسلة التوريد لأول مرة. بدمج ممارسات أمن سلسلة التوريد — تثبيت SHA، وSBOM، وإثبات مصدر SLSA، والتدوير الذري، والتحقق بنموذج انعدام الثقة — في التوجيهات الوطنية للأمن السيبراني الآن، يمكن للجزائر حماية بنيتها التحتية الرقمية المتنامية بشكل استباقي بدلاً من ردّ الفعل.

اخترق هجوم Trivy المفوضية الأوروبية، وهي مؤسسة تمتلك موارد أمن سيبراني ضخمة. الدرس ليس أن المصادر المفتوحة خطيرة — فهي تظل أساس البرمجيات الحديثة. الدرس هو أن نظافة سلسلة التوريد يجب أن تواكب وتيرة التبني. المؤسسات الجزائرية التي تستوعب هذا المبدأ ستبني أنظمة أكثر مرونة من تلك التي تعلّمته بالطريقة الصعبة.

المصادر والقراءات الإضافية

• European Commission Cloud Breach: A Supply-Chain Compromise — CERT-EU
• Detecting, Investigating, and Defending Against the Trivy Supply Chain Compromise — Microsoft Security Blog
• From Scanner to Stealer: Inside the trivy-action Supply Chain Compromise — CrowdStrike
• Trivy Supply Chain Attack: What You Need to Know — Aqua Security
• Trojanization of Trivy, Checkmarx, and LiteLLM Solutions — Kaspersky
• Algeria Strengthens Cybersecurity Framework to Protect National Infrastructure — TechAfrica News
• Content of the 2025-2029 National Information Systems Security Strategy Unveiled — Africa News
• SLSA Framework — Open Source Security Foundation
• SBOM Requirements in the EU Cyber Resilience Act — FOSSA