Netcrook Logo
👤 SECPULSE
🗓️ 24 Mar 2026   🌍 Middle-East

«كاميكازي» في السحابة: صعود CanisterWorm وعصر جديد من الهجمات السيبرانية المدفوعة بالبلوك تشين

العنوان الفرعي: سلالة برمجيات خبيثة جديدة تستغل أدوات المطورين وتقنيات البلوك تشين والجيوسياسة لإطلاق تدمير موجّه - وقد تكون بالفعل متخفية داخل عناقيد Kubernetes لديك.

في مساء هادئ من مارس 2026، بدأت عاصفة رقمية تتشكل في مجتمعات المطورين حول العالم. خلال ساعات، كان «CanisterWorm» - الذي يبدو اسمه بريئًا - يتسلل عبر حزم npm، ويسرق بيانات الاعتماد، وفي بعض الحالات يترك بنى تحتية سحابية كاملة في حالة خراب. لكن هذا لم يكن هجومًا سيبرانيًا عاديًا: لقد كان ظهور سلالة جديدة من البرمجيات الخبيثة - تجمع بين قوة مراكز قيادة قائمة على البلوك تشين يصعب إيقافها، وحمولة انتقائية مخيفة ذات طابع جيوسياسي.

تعود أصول حملة CanisterWorm إلى مجموعة الاختراق سيئة السمعة TeamPCP. وباستخدام بيانات اعتماد سُرقت في خرق سابق لأداة الفحص Trivy التابعة لشركة Aqua Security، تمكنت TeamPCP من الاستيلاء على حسابات القائمين على الصيانة وحقن تحديثات خبيثة في عشرات حزم npm. وكانت النتيجة: مطورون ومنظمات حول العالم فتحوا أبوابهم دون قصد أمام تهديد سريع الانتشار.

ما يميز CanisterWorm هو استخدامه لبروتوكول Internet Computer Protocol (ICP) - وتحديدًا «حاويات» البلوك تشين - كبنية تحتية للقيادة والتحكم (C2). وعلى عكس خوادم C2 التقليدية، فإن حاويات البلوك تشين لامركزية ويكاد يكون من المستحيل على السلطات الاستيلاء عليها أو تعطيلها. يتيح هذا الابتكار للمهاجمين دفع التعليمات إلى الأجهزة المصابة متى شاؤوا، بمرونة لم تُرَ من قبل في حملات البرمجيات الخبيثة.

لكن السحر التقني لا يتوقف عند هذا الحد. حمولة CanisterWorm دقيقة على نحو مخيف: إذا اكتشفت البرمجية الخبيثة أنها تعمل داخل عنقود Kubernetes مضبوط على المنطقة الزمنية Asia/Tehran الخاصة بإيران، فإنها تنشر DaemonSet يطلق حاوية «كاميكازي» ذات امتيازات عالية. تقوم هذه الحاوية بمسح جميع الأدلة العليا في كل عقدة، ثم تفرض إعادة تشغيل - ما يؤدي فعليًا إلى محو العنقود بالكامل. ولا تُستثنى الأجهزة الإيرانية خارج Kubernetes: يحاول الدود محو كل شيء على القرص الصلب بمجرد وصوله.

أما الضحايا خارج إيران، فالهجوم أكثر خفاءً لكنه لا يقل خطورة. فبدلًا من التدمير، يثبت CanisterWorm بابًا خلفيًا خفيًا بلغة Python كخدمة systemd، مانحًا المهاجمين وصولًا دائمًا وقدرة على تصعيد الهجمات في أي وقت. كما يمسح الدود بحثًا عن رموز المصادقة ومفاتيح SSH، ويتحرك جانبيًا عبر الشبكات باستغلال بيانات اعتماد ضعيفة وواجهات Docker البرمجية المفتوحة. وتشمل العلامات الدالة خدمات مزيفة باسم «pgmon» أو «pgmonitor»، واتصالات SSH صادرة بإعدادات مريبة، وحاويات Docker ذات امتيازات تعمل مع وصول إلى المضيف.

تمثل هذه الحملة تطورًا مقلقًا في الحرب السيبرانية، إذ تمزج بين اختراق سلسلة التوريد وتقنيات الهجوم السحابية الأصلية وتقنية البلوك تشين. ويشير الاستهداف الانتقائي للبنية التحتية الإيرانية إلى دافع جيوسياسي، بينما يبشر استخدام C2 اللامركزي بمستقبل قد تكافح فيه الدفاعات التقليدية لمواكبته.

ومع انقشاع الغبار، بات أمر واحد واضحًا: CanisterWorm جرس إنذار لعصر السحابة. على فرق الأمن أن تبقى يقظة، وأن تدقق في تبعيات البرمجيات لديها، وأن تراقب البصمات الخفية لهذه السلالة الجديدة من البرمجيات الخبيثة - لأنه في عالم الهجمات اللامركزية، قد لا يبقى هناك خادم مركزي واحد لفصله عن الكهرباء.

WIKICROOK

  • Kubernetes: Kubernetes هو برنامج مفتوح المصدر يؤتمت نشر التطبيقات وتوسيعها وإدارتها، ما يجعل تشغيل الأنظمة بشكل موثوق أسهل للشركات.
  • DaemonSet: يضمن DaemonSet في Kubernetes تشغيل Pod على كل عقدة. وهو مفيد لخدمات النظام، لكنه قد يُساء استخدامه من قبل المهاجمين لتحقيق الاستمرارية.
  • حاوية بلوك تشين: حاوية البلوك تشين هي حاوية لعقد ذكي على شبكات لامركزية، وقد يُساء استخدامها أحيانًا من قبل المهاجمين لإيصال أوامر البرمجيات الخبيثة وتفادي الكشف.
  • باب خلفي: الباب الخلفي هو طريقة خفية للوصول إلى جهاز كمبيوتر أو خادم، متجاوزًا عمليات التحقق الأمنية المعتادة، وغالبًا ما يستخدمه المهاجمون للحصول على تحكم سري.
  • مفتاح SSH: مفتاح SSH هو بيانات اعتماد رقمية تتيح وصولًا آمنًا إلى الخوادم البعيدة دون كلمة مرور. وإذا تم اختراقه، فقد يسمح بوصول غير مصرح به إلى النظام.
CanisterWorm Blockchain Cyberattacks
SECPULSE SECPULSE
SOC Detection Lead
← Back to news