برمجيات خبيثة على الطيار الآلي: TeamPCP تطلق دودة ذاتية الانتشار في هجوم عالمي على المصادر المفتوحة

عندما التقط باحثو الأمن أولى الإشارات عن TeamPCP، لم يكن لديهم أي فكرة عن مدى اتساع نطاق أذرع المجموعة. خلال الأسابيع القليلة الماضية، اجتاحت موجة من الإصابات منظومة المصادر المفتوحة، مخترقة أدوات يثق بها المطورون حول العالم. لكن هذا ليس تفشياً عادياً للبرمجيات الخبيثة: عملية TeamPCP درسٌ متقن في الأتمتة وتخريب سلسلة التوريد والغموض الجيوسياسي - مكتملة بحمولة لمسح البيانات موجّهة مباشرة إلى إيران.

حقائق سريعة

• TeamPCP مجموعة قرصنة تم التعرف عليها حديثاً، متخصصة في حملات برمجيات خبيثة مؤتمتة وعلى نطاق واسع.
• الدودة ذاتية الانتشار التابعة للمجموعة اخترقت برمجيات مفتوحة المصدر شائعة، بما في ذلك ماسح الثغرات Trivy.
• استُخدمت الأجهزة المصابة لسرقة البيانات، ونشر برمجيات الفدية، وتعدين العملات المشفرة، وغير ذلك.
• تستخدم البرمجيات الخبيثة عقداً ذكياً مقاوماً للعبث (حاوية Internet Computer Protocol) للتحكم والقيادة، ما يجعل إسقاطها شبه مستحيل.
• ماسح بيانات تدميري يستهدف تحديداً الأجهزة الموجودة في إيران، ما يلمّح إلى دافع سياسي أو أيديولوجي.

داخل الهجوم: كيف سمّمت TeamPCP سلسلة التوريد

في ديسمبر، كانت شركة الأمن Flare أول من نبه إلى أنشطة TeamPCP بعد رصد دودة جديدة تستهدف منصات سحابية ضعيفة التأمين. هدف المجموعة الفوري: إنشاء شبكة مترامية من الخوادم المخترقة لتعمل كوسطاء (بروكسي)، ومُعدّنين، ولصوص بيانات. لكن TeamPCP لم تكتفِ بحيلة واحدة - إذ تطورت حملتهم بسرعة، مضيفة ميزات جديدة ومسارات هجوم بوتيرة محمومة.

أخطر تصعيد جاء الأسبوع الماضي، عندما اخترقت TeamPCP حساب GitHub الخاص بـ Aqua Security، مطوري ماسح الثغرات واسع الاستخدام Trivy. وبالاستفادة من صلاحيات مميزة، حقنوا شيفرة خبيثة في معظم إصدارات Trivy في هجوم نموذجي على سلسلة التوريد. ولم تتوقف البرمجيات الخبيثة عند Trivy: بل راحت تبحث بنشاط عن رموز وصول npm على الأجهزة المصابة، ثم تستخدم تلك الرموز لتسميم حزم JavaScript إضافية بسرعة خاطفة. وقد رصدت شركة الأمن Aikido الدودة وهي تستهدف 28 حزمة npm في أقل من دقيقة - إنجاز أتمتة أذهل حتى الباحثين المخضرمين.

كانت الإصدارات السابقة من الدودة تتطلب من المهاجمين اختيار حزم البرمجيات المراد إصابتها يدوياً. لكن خلال عطلة نهاية الأسبوع، قامت TeamPCP بترقية أدواتها: باتت الدودة الآن تُصيب تلقائياً أي حزم قابلة للنشر تعثر عليها، ما يوسّع نطاقها وتأثيرها بشكل كبير.

ما يجعل دودة TeamPCP شديدة الصمود هو استخدامها لحاوية Internet Computer Protocol (ICP) - وهي عقد ذكي ينسّق الأجهزة المصابة ويوجهها إلى خوادم متغيرة باستمرار تستضيف أحدث الحمولات الخبيثة. هذه الآلية المقاومة للعبث تجعل بنية التحكم والقيادة للبرمجيات الخبيثة شبه مستحيلة التعطيل. وتقوم الأجهزة المصابة بتسجيل الدخول كل 50 دقيقة، بما يضمن للمهاجمين استمرار السيطرة حتى لو حاول المدافعون قطع الطريق عليهم.

ومع ذلك، ربما أكثر التفاصيل إثارة للفضول هو النزعة التدميرية للبرمجيات الخبيثة: ماسح بيانات مدمج لا يتفعّل إلا على الأجهزة الموجودة في إيران. ولا يزال سبب هذا التكتيك الرقمي القائم على سياسة الأرض المحروقة غير واضح، لكن الخبراء يشتبهون في دوافع تتراوح بين الهاكتيفيزم وعمليات الراية الكاذبة.

الخلاصة

حملة TeamPCP إنذار صارخ: فمع تحول أدوات المصادر المفتوحة إلى العمود الفقري للبرمجيات الحديثة، تصبح أيضاً أهدافاً لا تُقاوم لهجمات متقدمة ومؤتمتة. وبينما يسابق المدافعون الزمن لترميم الضرر، يشير استخدام البرمجيات الخبيثة للعقود الذكية وتطورها السريع إلى حقبة جديدة من التهديدات السيبرانية - حقبة تتلاشى فيها الحدود بين الإجرام والأيديولوجيا والأتمتة. وحتى الآن، تظل سلسلة التوريد المسمومة تذكيراً قوياً بأن الثقة، حين تنكسر، يصعب إعادة بنائها.

WIKICROOK

• سلسلة التوريد: يستهدف هجوم سلسلة التوريد مورّدين أو خدمات من طرف ثالث لاختراق عدة مؤسسات عبر استغلال علاقات خارجية موثوقة.
• باب خلفي: الباب الخلفي هو طريقة خفية للوصول إلى جهاز كمبيوتر أو خادم مع تجاوز فحوصات الأمان المعتادة، وغالباً ما يستخدمه المهاجمون للحصول على سيطرة سرية.
• دودة: الدودة برمجية خبيثة ذاتية النسخ تنتشر عبر الشبكات دون تدخل المستخدم، مستغلة الثغرات لإصابة عدة أجهزة كمبيوتر.
• عقد ذكي: العقد الذكي شيفرة ذاتية التنفيذ على سلسلة كتل تفرض القواعد وتُجري العمليات تلقائياً، ما يلغي الحاجة إلى وسيط.
• رمز وصول: رمز الوصول مفتاح رقمي مؤقت يتحقق من الهوية ويمنح وصولاً آمناً إلى الخدمات أو الموارد عبر الإنترنت دون الحاجة إلى تسجيل دخول متكرر.