هجوم سلسلة التوريد على TanStack وGitHub: إضافة VS Code خبيثة تخترق 3,800 مستودع في 18 دقيقة

في واحدة من أخطر هجمات سلسلة التوريد البرمجية لعام 2026، نجحت مجموعة TeamPCP في اختراق 170 حزمة npm تابعة لمكتبة TanStack الشهيرة، ثم استغلت الوصول لتلويث إضافة Nx Console على سوق VS Code — مما أدى إلى اختراق 3,800 مستودع داخلي في GitHub خلال 18 دقيقة فقط. الهجوم طال أيضاً OpenAI وMistral AI، وكشف هشاشة سلاسل التوريد البرمجية التي تعتمد عليها المؤسسات المالية السعودية يومياً.

تشريح الهجوم: من حزمة npm إلى اختراق GitHub

بدأ الهجوم في 11 مايو 2026 عندما استغلت مجموعة TeamPCP ثغرة في آلية pull_request_target على GitHub Actions، مقترنة بتسميم ذاكرة التخزين المؤقت (Cache Poisoning) عبر حدود الثقة بين الفرع الأصلي والفرع المُشتق. بين الساعة 19:20 و19:26 بتوقيت UTC، نشر المهاجمون 84 نسخة خبيثة عبر 42 حزمة @tanstack/* على npm، مستخلصين رمز OIDC من عملية تشغيل GitHub Actions لتوسيع نطاق الاختراق. الحمولة الخبيثة انتشرت كالدودة البرمجية، لتصيب في النهاية أكثر من 170 حزمة npm وحزمتين على PyPI في حملة منسقة واحدة.

إضافة Nx Console: 18 دقيقة غيّرت كل شيء

الخطوة الأخطر جاءت يوم 18 مايو 2026، حين استخدم المهاجمون بيانات اعتماد مسروقة من أحد مطوري Nx Console لنشر إصدار ملوث (18.95.0) على سوق Visual Studio Marketplace. الإضافة التي يستخدمها 2.2 مليون مطور بقيت ملوثة لمدة 18 دقيقة فقط — بين 12:30 و12:48 ظهراً بتوقيت UTC — لكن ذلك كان كافياً لسرقة بيانات اعتماد منصات متعددة تشمل npm وAWS وKubernetes وGitHub وGCP وDocker من أجهزة المطورين المتصلين. أكد مسؤول أمن المعلومات في GitHub أن هذه الإضافة المُلوثة كانت نقطة الدخول لاختراق 3,800 مستودع داخلي.

الأضرار الجانبية: OpenAI وMistral AI وما بعدها

لم يقتصر الضرر على GitHub وحده. أكدت OpenAI اختراق جهازين لموظفيها مع تسريب محدود لبيانات اعتماد مرتبطة بمستودعات الكود الداخلية. كما أعلنت Mistral AI أن حزم SDK الخاصة بها على npm وPyPI تعرضت للتلويث ضمن الحملة ذاتها، مع عرض مجموعة TeamPCP لمستودعات كود Mistral AI للبيع على منتدى جرائم إلكترونية. الهجوم امتد أيضاً لمشاريع UiPath وGuardrails AI وOpenSearch عبر بيانات CI/CD المسروقة.

التأثير المباشر على المؤسسات المالية السعودية

تعتمد فرق التطوير في البنوك وشركات التقنية المالية السعودية بشكل مكثف على حزم npm ومكتبات JavaScript المفتوحة المصدر مثل TanStack Router وTanStack Query في بناء بوابات الدفع وتطبيقات الخدمات المصرفية الرقمية. أي مؤسسة قامت بتحديث هذه الحزم بين 11-18 مايو 2026 دون فحص أمني مسبق قد تكون قد أدخلت الحمولة الخبيثة إلى بيئة الإنتاج. إطار SAMA CSCC يُلزم المؤسسات المالية بتطبيق ضوابط أمن سلسلة التوريد البرمجية، بينما يتطلب NCA ECC 2:2024 إدارة مخاطر الأطراف الثالثة بما يشمل المكتبات مفتوحة المصدر. نظام PDPL أيضاً يُحمّل المؤسسة المسؤولية الكاملة عن أي تسريب بيانات ناتج عن مكونات برمجية خارجية مُخترقة.

التوصيات والخطوات العملية

1. تدقيق فوري للتبعيات: راجعوا ملفات package-lock.json وyarn.lock في جميع المشاريع بحثاً عن أي نسخة من حزم @tanstack/* صدرت بين 11-18 مايو 2026، واستبدلوها بالنسخ النظيفة المُعتمدة من TanStack بعد نشر التقرير التصحيحي.
2. فحص إضافات VS Code: تأكدوا من عدم تثبيت إصدار Nx Console 18.95.0 على أي جهاز مطور، وافحصوا سجلات التثبيت في الفترة بين 12:30 و12:48 UTC يوم 18 مايو. أعيدوا تدوير جميع بيانات الاعتماد على الأجهزة المتأثرة.
3. تطبيق SBOM إلزامي: اعتمدوا قائمة مواد برمجية (Software Bill of Materials) لكل تطبيق في بيئة الإنتاج، واربطوها بنظام مراقبة آلي يُنبّه عند ظهور ثغرات في أي مكون.
4. تقييد صلاحيات CI/CD: طبّقوا مبدأ الحد الأدنى من الصلاحيات على جميع خطوط أنابيب البناء والنشر، وامنعوا استخدام pull_request_target مع أسرار الإنتاج. فعّلوا التوقيع الرقمي الإلزامي لجميع الحزم قبل النشر.
5. مراقبة السجلات واستجابة الحوادث: فعّلوا مراقبة مستمرة لسجلات npm audit وGitHub Actions، وأعدّوا خطة استجابة مخصصة لهجمات سلسلة التوريد وفق متطلبات SAMA CSCC للإبلاغ عن الحوادث خلال 72 ساعة.

الخلاصة

هجوم TanStack/GitHub يُعدّ نقطة تحول في مشهد تهديدات سلسلة التوريد البرمجية — حيث تحولت إضافة VS Code شرعية إلى سلاح خلال 18 دقيقة فقط. المؤسسات المالية السعودية التي تعتمد على مكتبات JavaScript المفتوحة المصدر يجب أن تتعامل مع أمن سلسلة التوريد كأولوية استراتيجية وليس مجرد إجراء تقني. إطارات SAMA CSCC وNCA ECC توفر الأساس التنظيمي، لكن التطبيق الفعلي يتطلب أدوات وعمليات متقدمة لضمان سلامة كل سطر كود يدخل بيئة الإنتاج.

هل مؤسستك مستعدة لمواجهة هجمات سلسلة التوريد البرمجية؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC وتدقيق شامل لسلسلة التوريد البرمجية.