تسريب كود Miasma واختراق وكلاء الذكاء الاصطناعي بأساليب مبتكرة
يكشف تقرير ThreatsDay عن تهديدات معقدة تشمل تسريب كود دودة Miasma لضرب سلاسل التوريد. كما يسلط الضوء على تقنيات تعطيل أنظمة EDR صامتاً واختراق وكلاء الذكاء الاصطناعي.
مقدمة تحليلية
كشف التقرير الأخير الصادر عن شركة Flashpoint عن حقيقة صادمة تؤرق مراكز عمليات الأمن السيبراني (SOC) في مختلف قطاعات التكنولوجيا: تعرض أكثر من 11.1 مليون جهاز للإصابة ببرمجيات سرقة المعلومات (Infostealers) خلال العام الماضي، مما أدى إلى تسريب ما يزيد عن 3.3 مليار من بيانات الاعتماد الرقمية، وملفات تعريف الارتباط الخاصة بالجلسات (Session Cookies)، ورموز السحابة المميزة (Cloud Tokens) التي يجري تداولها حاليًا بكثافة في الأسواق غير المشروعة ومجتمعات الويب المظلم. هذا التدفق الهائل للمعلومات المسروقة لم يعد مجرد نتاج لهجمات عشوائية، بل يعكس تحولاً جذرياً نحو نموذج أعمال احترافي وممنهج يُدار كخدمة تجارية متكاملة. يمتد هذا التحول الجذري ليشمل كل شيء، بدءاً من نشر أطر عمل متكاملة لاختراق سلاسل التوريد (Supply Chain Attack Kits) على المنصات العامة عبر حسابات مطورين مخترقة، وصولاً إلى تطوير تروجان التحكم عن بُعد (RAT) عالي الكفاءة يُباع بآلاف الدولارات شهرياً. إن تطور هذه التهديدات يعكس نضجاً غير مسبوق في البنية التحتية للمهاجمين؛ حيث تُدار شبكات غسيل الأموال وتهريب الأموال (Money Mules) كمنصات برمجية خدمية (MaaS)، ويتم تزييف إجراءات التحقق من الهوية (KYC) باستخدام تقنيات التزييف العميق (Deepfakes) كخدمة تجارية جاهزة للاستخدام، مما يضع آليات الدفاع التقليدية للمؤسسات والشركات التقنية الكبرى تحت اختبار حقيقي غير مسبوق في منتصف عام 2026.
التحليل التقني
لعل الخطر الأكبر الذي تكشف عنه بيانات هذا الأسبوع يكمن في تسريب الشفرة المصدرية لإطار عمل اختراق سلاسل التوريد المسمى
Miasma
(وهو نسخة متطورة من دودة Shai-Hulud الخبيثة). تم نشر الشفرة على مستودعات GitHub العامة عبر حسابات مطورين مخترقة. لا تقتصر Miasma على كونها دودة تقليدية، بل هي حزمة أدوات متكاملة تتيح للمهاجمين استخدام بيانات الاعتماد المسروقة لتنفيذ هجمات ضد سجلات الحزم العامة مثل PyPI وnpm وRubyGems ومستودعات JFrog Artifactory، وتسميم إعدادات أدوات البرمجة المدعومة بالذكاء الاصطناعي (AI coding tools)، وتنفيذ حركات جانبية (Lateral Movement) عبر بروتوكول SSH داخل الشبكات المخترقة. تعتمد Miasma في هيكلية القيادة والسيطرة (C2) على قنوات مستقلة ومبتكرة تستخدم ميزة البحث عن الالتزامات (Commit Search) في GitHub بدلاً من خوادم C2 التقليدية، عبر ثلاثة مفاتيح تشفير محددة وسلاسل بحث فريدة:
على صعيد آخر، تم رصد التروجان
SilabRAT
الذي يطوره هكر يتحدث الروسية بالمعرف 'o1oo1'، ويُباع في منتديات الويب المظلم مقابل 5,000 دولار شهرياً منذ سبتمبر 2025. يتم تسليم هذا التروجان عبر حملات ClickFix باستخدام أداة التحميل Hijack Loader. تقنيًا، يتميز SilabRAT بقدرته على استنساخ ملفات تعريف المتصفح (Browser Profile Cloning)، حيث ينسخ وكيل المستخدم (User Agent)، وملفات تعريف الارتباط، وتفاصيل البصمة الرقمية للضحية، ثم يعيد بناء الجلسة على جهاز المهاجم لتجاوز تكنولوجيا التحقق الثنائي (2FA). كما يستخدم بروتوكول HVNC للتحكم الكامل غير المرئي في نظام الضحية وتحديد مواقع محافظ العملات المشفرة. أما فيما يتعلق بالتهديدات المالية، فقد تم رصد موجة احتيال مبتكرة تستهدف منصة WooCommerce لسرقة بيانات بطاقات الدفع أثناء عملية الدفع. يعمل هذا السكيمر (Skimmer) على محاكاة عنصر واجهة الدفع الخاص بـ Stripe بشكل متطابق بالكامل، ويقوم بإجراء عمليات التحقق من صحة البطاقات مباشرة على جانب العميل (Client-side validation) تماماً كما تفعل الأكواد البرمجية الأصلية، مما يمنع الضحايا من الشك في وجود خلل أمني. كما برزت حملة احتيالية أخرى توزع تطبيقاً خبيثاً لنظام أندرويد يحمل اسم
NFCShare
، يستهدف البنوك الإيطالية والأوروبية، حيث يستغل التطبيق واجهة ISO-DEP لقراءة بيانات بطاقات الدفع اللاتلامسية عبر ميزة الاتصال قريب المدى (NFC) بمجرد اقتراب البطاقة من هاتف الضحية، ثم يرسل تلك البيانات فوراً إلى نقطة نهاية WebSocket تابعة للمهاجمين. علاوة على ذلك، كشفت التحليلات الأمنية عن لودر جديد مكتوب بلغة Go يُعرف باسم
GoFlateLoader
، ويتميز بوجود غلاف ملف تنفيذي (PE overlay) ضخم الحجم لعرقلة آليات الكشف السلوكية وتحليل التوقيعات الرقمية. يتم تسليم هذا اللودر عبر برمجيات مقرصنة وشبكات توزيع حركة المرور الخبيثة (TDS) لتشغيل حمولات ضخمة من برمجيات سرقة البيانات في الذاكرة (In-memory execution) مباشرة مثل Lumma وVidar وStealC، وقد تسببت هذه الحملة في استهداف أكثر من 33,000 مستخدم فريد بشكل خاص في البرازيل والهند وإسبانيا وتركيا. إلى جانب ذلك، تم الكشف عن تقنية هجومية جديدة تُعرف باسم
EDRChoker
، وتستغل ميزات مدمجة في نظام تشغيل Windows دون الحاجة لأي ثغرة برمجية. تستخدم التقنية إعدادات جودة الخدمة (QoS) القائمة على السياسات لتحديد النطاق الترددي للشبكة المتاح للعمليات الخاصة ببرمجيات الحماية من التهديدات والاستجابة لها (EDR). من خلال تقييد سرعة العمليات الأمنية إلى 8 بت في الثانية فقط (8 bps)، تفشل أدوات الـ EDR في الاتصال بخوادمها السحابية مما يؤدي إلى حدوث مهلة اتصال (Timeout) دائمة وتعطيل تدفق البيانات التشخيصية (Telemetry Stream) بالكامل بشكل صامت.
السياق وتأثير السوق
تشير البيانات التحليلية الصادرة عن CrowdStrike إلى أن مجموعة التهديد الكورية الشمالية الشهيرة باسم
Famous Chollima
استحوذت بمفردها على 47% من جميع العمليات التفاعلية القائمة على التدخل البشري (Hands-on-keyboard operations) ضد قطاع التكنولوجيا العالمي بين أبريل 2025 ومارس 2026. تتركز استراتيجيتهم على التسلل إلى الشركات في أمريكا الشمالية وأوروبا وآسيا من خلال التقدم لوظائف تقنية بهويات مزيفة للحصول على صلاحيات وصول داخلية. وفي سياق تزايد تعقيد الهجمات الجيوسياسية، برز نشاط متزايد لمجموعة غير معروفة سابقاً تُدعى
SiribClone
تستهدف الأفراد العسكريين الروس عبر تطبيقات وهمية لمشاركة الصور الآمنة لتثبيت برمجيات التجسس SafeLoveStealer وسرقة جلسات Telegram الكاملة والتحكم فيها باستخدام أداة تُدعى Kontur. كما اتسعت رقعة سلاسل التوريد المخترقة لتشمل برامج شائعة مثل تطبيق X-VPN الذي يتجاوز عدد مستخدميه 100 مليون مستخدم، حيث استغلت حملة مدعومة من فاعل يحمل الاسم المستعار 'Leda Elacoate' تقنيات تحميل مكتبات الارتباط الديناميكي الجانبية (DLL Sideloading) لتسليم تروجان STX RAT للمستخدمين الذين يحملون برمجيات تحاكي CPUID وتطبيقات التداول عبر مستودعات Bitbucket ملوثة. تكامل هذه التهديدات السيبرانية مع تنامي خدمات غسيل الأموال كخدمة (MaaS) يسهل على المهاجمين تسييل أرباح برمجيات الفدية (Ransomware) دون القلق من تتبع التدفقات المالية، مستغلين تقنيات التزييف العميق لتخطي متطلبات التحقق المصرفي (KYC)، مما يهدد استقرار البنية الاقتصادية الرقمية العالمية.
رؤية Glitch4Techs
نعتقد في Glitch4Techs أن هذه الموجة من التهديدات تؤسس لعهد جديد من التحديات الأمنية المعقدة، وأبرز ملامحه هو 'تجريد الدفاعات من سلاحها بشكل نظامي' بدلاً من اختراقها. فتقنيات مثل EDRChoker أو EDRStartupHinder لا تبحث عن ثغرات في برمجيات EDR مثل CrowdStrike أو SentinelOne، بل تستخدم ميزات تكوين نظام التشغيل الأساسي (مثل QoS وWindows Bindlink) لتعطيل تلك الأدوات بشكل شرعي وقانوني أمام نظام التشغيل. هذا يعني أن بنية الثقة الافتراضية في أنظمة تشغيل المؤسسات تحتاج إلى إعادة صياغة جذرية. من ناحية أخرى، يُشكل نموذج هجمات 'اصطياد وكلاء الذكاء الاصطناعي' (Agent Phishing)، والذي تم محاكاته على عميل البريد الإلكتروني OpenClaw المسمى Pinchy، مؤشراً خطيراً للغاية. المثير للقلق هنا هو أن الوكيل الذكي لم يتعرض لهجوم 'حقن الأوامر غير المباشر' المعتاد، بل تم خداعه ببساطة عبر بريد إلكتروني تقليدي يحاكي طلباً بشرياً عادياً لمشاركة مفاتيح AWS IAM وكلمات مرور قواعد البيانات، فقام الوكيل بتنفيذ الطلب دون أي تحقق. مع تزايد اعتماد الشركات على الوكلاء المستقلين (Autonomous Agents) لإدارة العمليات اليومية، فإننا نتوقع تصاعداً هائلاً في هذه الهجمات المؤتمتة. النصيحة الاستراتيجية لمدراء أمن المعلومات (CISOs) اليوم واضحة: يجب فرض مبدأ 'انعدام الثقة' (Zero Trust) ليس فقط على البشر والمستخدمين، بل على وكلاء الذكاء الاصطناعي والعمليات الداخلية لنظام التشغيل على حد سواء.
كن أول من يعرف بمستقبل التقنية
أهم الأخبار والتحليلات التقنية مباشرة في بريدك.