دودة «حيّة» في نظام بيئة جافا سكريبت، مراقبة عملاء غوتشي وأحداث أخرى في مجال الأمن السيبراني

# دودة "حية" في نظام بيئي JavaScript، تتبع عملاء Gucci وأحداث أخرى في الأمن السيبراني

لقد جمعنا أهم الأخبار من عالم الأمن السيبراني خلال الأسبوع.

• مطورو البلوكشين أصبحوا أكثر عرضة لهجمات القراصنة.
• قامت الشرطة الكندية بمصادرة أكثر من 40 مليون دولار في العملات المشفرة.
• يهاجم النظام البيئي لـ JavaScript «دودة» ذاتية التكاثر.
• قد تؤثر الهجمة على صناعة السيارات على اقتصاد المملكة المتحدة.

مطورو البلوكشين أصبحوا هدفًا متزايدًا للقراصنة

يستقطب مطورو البرمجيات المزيد من قراصنة العملات المشفرة. وفقًا لبيانات باحثي الأمن السيبراني في Koi Security، هاجمت مجموعة القراصنة WhiteCobra مستخدمي بيئات تطوير الكود VSCode وCursor وWindsurf. لقد نشروا 24 ملحقًا ضارًا على منصة Visual Studio Marketplace وفي سجل Open VSX.

أحد ضحايا "المدمرين" كان المطور الرئيسي لإيثيريوم زاك كول.

لقد كنت في عالم الكريبتو لأكثر من 10 سنوات ولم أتعرض للاختراق أبداً. سجل أمني مثالي.

أمس، تم سحب أموالي من محفظتي بواسطة ملحق خبيث @cursor_ai للمرة الأولى.

إذا كان يمكن أن يحدث لي، يمكن أن يحدث لك. إليك تحليل كامل. 🧵👇

— zak.eth (@0xzak) 12 أغسطس 2025

وفقًا له، سرق مجرمو الإنترنت العملات المشفرة باستخدام مكون إضافي لمحرر التعليمات البرمجية بالذكاء الاصطناعي Cursor. أوضح كول أن الإضافة كانت تحتوي على جميع علامات المنتج غير الضار: شعار مصمم بشكل احترافي، وصف تفصيلي، و54,000 عملية تحميل على OpenVSX - السجل الرسمي لـCursor.

في Koi Security يعتقدون أن WhiteCobra تنتمي إلى نفس المجموعة التي سرقت الأصول الرقمية بقيمة 500,000 دولار من مبرمج بلوكشين روسي في يوليو.

«التوافق المتبادل وعدم وجود تحقق مناسب عند النشر على هذه المنصات يجعلها مثالية للمتسللين الذين يسعون إلى تنفيذ حملات ذات نطاق واسع»، كما ورد في تقرير Koi Security.

يبدأ إفراغ المحفظة من خلال تنفيذ الملف الأساسي extension.js، الذي يكاد يكون مطابقًا للقالب القياسي Hello World المقدم مع كل قالب من قوالب VSCode. بعد ذلك، يقوم البرمجيات الخبيثة بفك ضغط برنامج ستيلر اعتمادًا على نوع نظام التشغيل.

في بؤرة اهتمام المهاجمين من WhiteCobra هم حاملو الأصول الرقمية بمبلغ يتراوح بين $10,000 و $500,000. يعتقد المحللون أن الجماعة قادرة على إطلاق حملة جديدة في أقل من ثلاث ساعات.

مثال على توسيع مشروع شرعي وزائف للمطورين. المصدر: Koi Security. حتى الآن، من الصعب إيقاف المهاجمين: على الرغم من أن المكونات الإضافية الضارة تتم إزالتها من OpenVSX، فإنها تظهر على الفور جديدة مكانها.

يُنصح الباحثون بمحاولة استخدام المشاريع المعروفة ذات السمعة الجيدة والتعامل بحذر مع الإصدارات الجديدة التي جمعت عددًا كبيرًا من التنزيلات والتعليقات الإيجابية في فترة زمنية قصيرة.

شرطة كندا صادرت أكثر من 40 مليون دولار في العملات الرقمية

أجرت الشرطة الفيدرالية الكندية أكبر مصادرة للعملات المشفرة في تاريخ البلاد. وقد أشار إلى ذلك المحقق في عالم البلوكتشين ZachXBT.

صادر رجال إنفاذ القانون الأصول الرقمية من منصة TradeOgre بقيمة تزيد عن 56 مليون دولار كندي (~$40.5 مليون ). كان إغلاق منصة تبادل العملات المشفرة هو الحالة الأولى من نوعها في تاريخ البلاد.

بدأ التحقيق في يونيو 2024 بناءً على إشارة من يوروبول. أظهر أن المنصة انتهكت القوانين الكندية ولم تسجل في مركز تحليل المعاملات المالية والتقارير كمؤسسة تقدم خدمات صرف الأموال.

يعتقد المحققون أن الجزء الأكبر من الأموال التي تم استخدامها في العمليات على TradeOgre جاء من مصادر إجرامية. وقد جذبت المنصة المجرمين بسبب عدم وجود متطلبات تعريف إلزامية لهوية المستخدم.

وفقًا لبيان الشرطة، ستتم تحليل بيانات المعاملات التي تم الحصول عليها من TradeOgre لتقديم التهم. لا يزال التحقيق جارياً.

تتعرض نظام JavaScript لهجوم من «دودة» قادرة على التكاثر الذاتي

بعد الهجوم على منصة NPM لدمج البرمجيات الخبيثة في حزم JavaScript، انتقل المهاجمون إلى استراتيجية انتشار «دودة» كاملة. الحادث يتصاعد: في وقت كتابة هذا، يُعرف عن أكثر من 500 حزمة NPM تم اختراقها.

بدأت الحملة المنسقة Shai-Hulud في 15 سبتمبر مع اختراق حزمة NPM @ctrl/tinycolor، التي يتم تنزيلها أكثر من 2 مليون مرة أسبوعياً.

وفقًا لمحللي Truesec، فقد توسعت الحملة بشكل كبير في هذه الأيام والآن تشمل الحزم المنشورة في مساحة الأسماء CrowdStrike.

وفقًا للخبراء، تحتوي الخيارات المساومة على وظيفة تستخرج أرشيف tar للحزمة، وتعدل ملف package.json، وتدمج سكربت محلي، وإعادة تجميع الأرشيف وإعادة نشره. عند التثبيت، يتم تنفيذ السكربت تلقائيًا، والذي يقوم بتنزيل وتشغيل TruffleHog - أداة شرعية لمسح الأسرار والبحث عن الرموز.

تعتقد Truesec أن الهجوم يتوسع بشكل كبير ويصبح أكثر تعقيدًا. على الرغم من أن المهاجمين يستخدمون العديد من الأساليب القديمة، إلا أنهم قد حسّنوا بشكل كبير من نهجهم، محوّلين إياه إلى "دودة" مستقلة تمامًا. يقوم البرمجيات الضارة بالقيام بالخطوات التالية:

• يجمع الأسرار ويكشف عنها علنًا على GitHub؛
• يقوم بتشغيل TruffleHog ويستجوب نقاط نهاية بيانات التعريف السحابية لاستخراج بيانات الاعتماد الحساسة؛
• يحاول دمج سير عمل GitHub Actions، المصمم لاستخراج البيانات عبر webhook.site؛
• يسرد جميع مستودعات GitHub المتاحة للمستخدم المخترق ويفرض جعلها عامة.

تتميز هذه الهجمة بأسلوبها. بدلاً من الاعتماد على كائن مصاب واحد، فإنها تنتشر تلقائيًا إلى جميع حزم NPM.

قد تؤثر الهجوم على صناعة السيارات على اقتصاد المملكة المتحدة

جاكوار لاند روفر (JLR) للأسبوع الثالث على التوالي لا يمكنه استئناف الإنتاج بسبب هجوم إلكتروني. وأفاد صانع السيارات الفاخرة أن خطوط التجميع لديه متوقفة على الأقل حتى 24 سبتمبر.

أكدت الشركة أن المتسللين سرقوا معلومات من شبكتها، لكنها لم تعلن بعد مسؤوليتها عن الهجوم على مجموعة قراصنة محددة.

وفقًا لموقع BleepingComputer، أعلنت مجموعة القراصنة Scattered Lapsus$ Hunters عن تورطها في الهجوم الإلكتروني، حيث نشرت لقطات شاشة من النظام الداخلي لشركة JLR على قناة Telegram. وتدعي التدوينة أن القراصنة قاموا أيضًا بنشر برنامج فدية على البنية التحتية المخترقة للشركة.

وفقا لحسابات بي بي سي، فإن كل أسبوع من التوقف يكلف الشركة ما لا يقل عن 50 مليون جنيه استرليني (~68 مليون دولار ). من جانبها، تقدر صحيفة التلغراف الخسائر خلال نفس الفترة بحوالي 100 مليون دولار. الموردون في JLR قلقون من أنهم قد لا يتمكنون من التعامل مع الأزمة غير المتوقعة، ويخافون من الإفلاس.

البيانات السرية لـ "جدار الحماية العظيم الصيني" أصبحت متاحة للجمهور

في 12 سبتمبر، أفاد الباحثون من فريق تقرير جدار الحماية العظيم عن أكبر تسرب للبيانات في تاريخ "الجدار الناري الصيني العظيم".

تسرب حوالي 600 جيجابايت من الوثائق الداخلية، وأكواد المصدر، والمراسلات الداخلية للمطورين، المستخدمة لإنشاء وصيانة النظام الوطني الصيني لتصفية حركة المرور.

وفقًا للباحثين، تحتوي التسريبات على أنظمة كاملة لبناء منصات تتبع حركة المرور، بالإضافة إلى وحدات مسؤولة عن التعرف على وتخفيف بعض أدوات تجاوز الحظر. تستهدف معظم المنصة اكتشاف VPN المحظورة في الصين.

يقول خبراء تقرير Great Firewall إن جزءًا من الوثائق يتعلق بمنصة Tiangou - منتج تجاري مصمم للاستخدام من قبل مقدمي الخدمات وبوابات الحدود. يعتقد الخبراء أن النسخ الأولى من البرنامج تم نشرها على خوادم HP وDell.

علاوة على ذلك، هناك إشارة في الوثائق المكشوفة إلى تثبيت هذا البرنامج في 26 مركز بيانات في ميانمار. يُزعم أن النظام كان يُدار من قبل شركة الاتصالات الحكومية وتم دمجه في نقاط تبادل حركة الإنترنت الرئيسية، مما سمح بتنفيذ كل من الحجب الجماعي والتصفية الانتقائية.

وفقًا لمجلة Wired ومنظمة العفو الدولية، تم تصدير البنية التحتية أيضًا إلى باكستان وإثيوبيا وكازاخستان ودول أخرى، حيث يتم استخدامها جنبًا إلى جنب مع منصات أخرى للاعتراض القانوني على حركة المرور.

مستهلكو المنتجات الفاخرة تحت المراقبة من قبل القراصنة

في 15 سبتمبر، أكد مالك العديد من العلامات التجارية الفاخرة، مجموعة Kering، تسرب البيانات الذي أثر على عملاء شركاته التابعة Gucci و Balenciaga و Alexander McQueen و Yves Saint Laurent.

وفقًا لبي بي سي، قام القراصنة بسرقة البيانات الشخصية، بما في ذلك الأسماء، وعناوين البريد الإلكتروني، وأرقام الهواتف، والعناوين المنزلية، بالإضافة إلى المبلغ الإجمالي من المال الذي أنفقه المشترون في المتاجر حول العالم.

يُعتقد أن الهجوم تقف وراءه مجموعة قراصنة تُدعى ShinyHunters، التي تدعي أنها سرقت البيانات الشخصية لما لا يقل عن 7 ملايين شخص، ومع ذلك، من المحتمل أن يكون عدد المتضررين أعلى بكثير.

يشتبه أيضًا في أن الجماعة متورطة في اختطاف العديد من القواعد البيانات الموجودة في Salesforce. أكدت عدة شركات، بما في ذلك Allianz Life و Google و Qantas و Workday، حدوث سرقة بيانات نتيجة لهذه الاختراقات الجماعية.

أيضًا اقرأ على ForkLog:

• CZ حذر من تهديد "موظفين مزيفين" من كوريا الشمالية.
• كشفت الدعوى المحدثة تفاصيل اختراق بورصة البيتكوين Coinbase.
• تم "احتجاز" رموز DYDX في شبكة Ethereum بقيمة 26 مليون دولار.
• إسرائيل طلبت تجميد 1.5 مليون USDT المرتبطة بالإرهابيين.
• في مونيرو حدثت أكبر إعادة تنظيم للكتل خلال 12 عامًا.
• تم اختراق جسر Shibarium بقيمة تقارب ~$2.3 مليون.

ماذا تقرأ في عطلة نهاية الأسبوع؟

فورك لوج درس اقتراحات Privacy Stewards for Ethereum - الفريق الجديد في مؤسسة Ethereum - وشرح كيف يعتزم موظفو المنظمة تنفيذ الخصوصية على جميع مستويات الشبكة، وصولًا إلى التطبيقات.