في 31 مارس، وجد سير عمل GitHub Actions في OpenAI نسخة ملوثة من مكتبة Axios. الشركة تقول إنه ما تسربت بيانات، لكنها تتصرف كأن هناك خرق بالأمان، حيث ستلغي الشهادة المتأثرة وتستبدلها. هذا السير العمل كان لديه صلاحيات توقيع على عدة تطبيقات مثل ChatGPT Desktop وCodex وأدوات أخرى. رغم أن الحملة الخبيثة على الأرجح لم تأخذ الشهادة بسبب توقيت التنفيذ وتصميم المهام، إلا أن وجود احتمال حتى صغير يجعل الأمر مقلقًا حين يتعلق بشهادات التوقيع.
من 8 مايو 2026، الإصدارات القديمة من تطبيقات macOS لن تتلقى تحديثات وستمنع أنظمة التشغيل هذه تشغيلها تلقائيًا. الإصدارات المدعومة الآن تشمل:
ChatGPT Desktop: 1.2026.071
Codex: 26.406.40811
Codex CLI: 0.119.0
Atlas: 1.2026.84.2
لكن هذا الحادث ليس القضية الوحيدة.
شهر مارس كان صعبًا على من يعتمدون على npm. قبل أسبوع من مشكلة OpenAI، نسب جوجل اختراق Axios على npm إلى مجموعة كورية شمالية اسمها UNC1069. هجموا على حساب مسؤول الحزمة ونشروا نسخ مسمومة تحتوي على شيفرة خلفية توصل أجهزة Windows وmacOS وLinux.
في نفس الشهر، تعرضت حزمة Trivy، أداة فحص الثغرات من Aqua Security لهجوم. هذا الهجوم انتقل عبر خمسة أنظمة بيئية. المجموعة المسؤولة، المعروفة باسم TeamPCP أو UNC6780، كانت تسرق بيانات المطورين أولاً عبر برنامج اسمه SANDCLOCK، ثم تستغل هذه البيانات لاختراق حزم npm وتوزيع دودة ذاتية الانتشار تسمى CanisterWorm. بعدها، حقنت نفس الشيفرة في سير عمل GitHub Actions لشركة Checkmarx ونشرت نسخ ملوثة من حزم LiteLLM وTelnyx على PyPI.
خلال فترة ثمانية أيام، تحولت المجموعة من استهداف أدوات أمنية إلى الذكاء الاصطناعي ثم أدوات الاتصالات، وطورت طريقة التوزيع من ترميز Base64 إلى ملفات بامتداد .pth وحتى إخفاء الشيفرات داخل ملفات صوتية بصيغة WAV. وانتشرت هجماتهم من Linux إلى Windows.
على وجه الخصوص في Windows، هجوم Telnyx SDK أسقط ملف msbuild.exe الذي يستخرج أداة DonutLoader من صورة PNG ثم يحمل حصان طروادة وبرنامج اتصال مرتبط بـ AdaptixC2. هذا الهجوم معروف الآن تحت رقم CVE-2026-33634.
وبعد هذه الاختراقات، TeamPCP لم تتوقف هناك، بل تعاونت مع مجموعات مثل LAPSUS$ وShinyHunters وأطلقت حملة فدية باسم CipherForce. تستخدم أدوات مثل TruffleHog لفحص البيانات المسروقة وتبدأ استغلالها خلال 24 ساعة.
الأضرار واضحة؛ بيانات تدريب الذكاء الاصطناعي لشركة Mercur وتأثر المفوضية الأوروبية بسبب هجوم Trivy. LAPSUS$ يدعي سرقة 4 تيرابايت من بيانات Mercur، مما دفع ميتا لتعليق تعاونها معها. أما المفوضية الأوروبية، فقد تسربت بيانات 71 عميلًا لخدمة Europa ونشرت علنًا في الإنترنت المظلم بواسطة ShinyHunters. كما وجد GitGuardian أن 474 مستودعًا عامًا نفذوا تعليمات خبيثة من سير عمل trivy-action المخترق، وهناك 1750 حزمة Python معدة لسحب الإصدارات الملوثة تلقائيًا. جوجل تحذر من وجود مئات الآلاف من الأسرار المسروقة قد تؤدي لموجة ثانية من الهجمات.
مارك ليشنر من Docker قال بوضوح: كان يجب التحقق من الثقة بدلاً من افتراضها. بريت ليثرمان من الـFBI لاحظ أن المهاجمين يركزون على أدوات الأمن لأنها تملك صلاحيات كبيرة داخل الشركات، أي أن زيادة الثقة في أداة تجعلها هدفًا جذابًا.
وسائل الحماية التي توصي بها Docker وPyPI تشمل:
- تثبيت الحزم باستخدام التجزئة أو SHA بدلًا من الاعتماد على العلامات المتغيرة
- استخدام صور Docker محصنة
- فرض فترة زمنية محددة قبل إجراء التحديثات التلقائية
- تجنب استخدام pull_request_target في GitHub Actions إلا للضرورة
- الاعتماد على بيانات اعتماد قصيرة العمر وبصلاحيات محدودة
- نشر رموز كنارية للكشف المبكر عن الهجمات
- فحص الكود بحثًا عن أسرار مخفية
- تشغيل وكلاء الذكاء الاصطناعي في بيئات معزولة
- تفعيل المصادقة الثنائية خصوصًا في المشاريع المفتوحة المصدر
وبالإضافة لذلك، أدرجت CISA رقم CVE-2026-33634 ضمن الثغرات المستغلة، وطلبت من الوكالات الفيدرالية الأميركية معالجتها قبل 9 أبريل 2026.