أعلنت جماعة القرصنة الإلكترونية المعروفة باسم TeamPCP مسؤوليتها عن الهجوم على منصة GitHub التي تعرضت لاختراق أمني أدى تسريب 3800 مستودع برمجي يضم أكواد المنصة الداخلية، إثر وقوع أحد مطوريها ضحية لهجوم “سلسلة التوريد البرمجية” عبر تثبيت إضافة ملغومة لـ VSCode المملوك لشركة مايكروسوفت.
وعرضت TeamPCP البيانات المسروقة للبيع على منصة “بريتش فورومز” متعهدةً بإتلافها في حال وجود مشترٍ واحد، أو تسريبها مجانًا في حال عدم البيع.
ويمثل هذا الاختراق الحلقة الأحدث في سلسلة هجمات مكثفة تنفذها الجماعة، حيث رصدت شركة الأمن السيبراني “سوكيت” قيام المجموعة بشن 20 موجة هجومية خلال الأشهر القليلة الماضية، زرعت خلالها برمجيات خبيثة في أكثر من 500 أداة برمجية مفتوحة المصدر، مما مكّنها من اختراق مئات الشركات، ومن أبرز ضحاياها منصة الذكاء الاصطناعي “أوبن إيه آي” وشركة البيانات “ميركور”.
وبحسب مجلة “Wired”، تعتمد الاستراتيجية الجوهرية لـ TeamPCP على حلقة تكرارية مستمرة؛ إذ تخترق الجماعة الشبكات الخاصة بمطوري الأدوات المفتوحة المصدر -مثل أداة تحليل البيانات AntV أو إضافات VSCode لزرع برمجيات خبيثة تسرق بيانات الاعتماد والرموز الرقمية الخاصة بالمطورين الآخرين الذين يستخدمون هذه الأدوات، مما يسمح لها بنشر نسخ ملوثة أخرى وتوسيع شبكة الاختراق تلقائيًا.
ومؤخرًا، اتجهت المجموعة إلى أتمتة عملياتها عبر دمج دودة برمجية ذاتية الانتشار تُعرف باسم Mini Shai-Hulud، والتي تنشئ مستودعات برمجية مشفرة تحمل عبارات مستوحاة من رواية الخيال العلمي Dune.
وتعود جذور الجماعة إلى أواخر عام 2025، حيث بدأت عملها عبر استغلال الثغرات الأمنية في تطبيقات الويب Next.js وإعدادات الحوسبة السحابية لبناء شبكات بوتنت وتعدين العملات المشفرة، قبل أن تطور أدواتها لشن هجمات فدية وابتزاز مالي واسع النطاق.
وتوسعت عمليات المجموعة بشكل حاد منذ مارس الماضي بعد اختراقها أداة الفحص الأمني Trivy واستخدام الرموز المسروقة لتلويث أداة برمجية واجهة التطبيق LiteLLM المستضافة على مستودع بايثون، فضلًا عن استهدافها للبنية التحتية لشركات “تشيك ماركس” و”ميسترال إيه آي” مما أسفر عن اختراق الموقع الرسمي للمفوضية الأوروبية وجهازي موظفين في “أوبن إيه آي”.
وفي أبريل، انتقلت الجماعة إلى نموذج “برمجيات الفدية كخدمة” عبر شراكات استراتيجية مع منصتي “بريتش فورومز” و”دراغون فورس”.
ورغم دوافعها المالية الصرفة، انخرطت الجماعة في أبعاد جيوسياسية؛ إذ طورت دودة برمجية مدمرة تُدعى “كانستر وورم” استهدفت البنية السحابية لمنصة “كوبرنيتس” عالميًا، لكنها حصرت تأثيرها التدميري ومسح البيانات ضد الأهداف الإيرانية حصرًا، كما سربت الجماعة مؤخرًا الشفرة المصدرية للدودة الأصلية “شاي هولود”.
وأمام هذا التهديد المتصاعد، يوصي خبراء شركة “بالو ألتو نتوركس” بتطبيق تدابير وقائية صارمة، تفرض التدوير الدوري الفوري لرموز الوصول الشخصية الخاصة بمنصات “جيتهاب” و”جيتلاب”، والخدمات السحابية كـ “أمازون” و”أزور” و”جوجل” و”أوراكل” و”علي بابا”، حيث تمثل الرموز طويلة الأجل الثغرة الأساسية لنجاح هذه الهجمات.
وينصح محللو الأمن الرقمي في شركتي “ويز” وسوكيت بالتخلي عن التحديث التلقائي الفوري للأدوات المفتوحة المصدر، واعتماد استراتيجية “تأجيل التحديثات” لإتاحة فترة اختبار كافية وفحص الأكواد للتأكد من خلوها من البرمجيات الخبيثة قبل دمجها في شبكات الشركات، مؤكدين أن فحص المخرجات وتأمينها مسبقًا هو السبيل الوحيد للحماية، لأن وصول البرمجية الخبيثة إلى جهاز المطور يعني نجاح الاختراق تمامًا.