ShinyHunters هجمات سيبرانية أمن البيانات اختراق فيركل أمن السحابة Next.js Lumma Stealer OAuth Context.ai روبوتات الذكاء الاصطناعي

خلفية الهجوم: كيف بدأ كل شيء؟

أعلن فيركل، الشركة المطورة لمنصة Next.js ومكتبات مفتوحة المصدر شهيرة، عن تعرض عملائه لخطر اختراق أمني بعد تسلل مهاجم عبر أنظمة داخلية متعددة.

بدأ الهجوم خارج نطاق فيركل، حيث استغل المهاجم أنظمة سحابية متصلة ودمجيات SaaS ذات صلاحيات مفرطة. كشف الباحثون في Hudson Rock أن البذور الأولى للهجوم زرعت في فبراير الماضي، عندما أصيب جهاز أحد موظفي شركة Context.ai ببرنامج ضار يدعى Lumma Stealer بعد بحثه عن طرق exploiting لعبة روبلوكس.

المراحل المتتالية للهجوم

استغل المهاجم أنظمة طرف ثالث تركتها الشركة مكشوفة، مما مكنه من الوصول إلى بيئة AWS الخاصة بـContext.ai وحصوله على رموز OAuth لبعض المستخدمين، بما في ذلك رمز حساب Google Workspace لموظف فيركل.

على الرغم من عدم كون فيركل عميلاً لـContext.ai، إلا أن الموظف كان يستخدم حزمة مكتب Context AI Office Suite وقام بمنحه وصولاً كاملاً. أوضح فيركل في بيان الأمني:

«استغل المهاجم هذا الوصول للاستيلاء على حساب الموظف في Google Workspace، مما مكنه من الوصول إلى بعض بيئات فيركل والمتغيرات البيئية التي لم يتم تصنيفها على أنها حساسة».

الآثار والتداعيات

أفاد فيركل أن عددًا محدودًا من عملائه تأثروا وتم إبلاغهم فورًا بضرورة تدوير بيانات الاعتماد الخاصة بهم. لم يوضح فيركل تفاصيل حول الأنظمة الداخلية التي تم الوصول إليها أو كيفية حصول المهاجم على بيانات اعتماد عملائه.

أكد Guillermo Rauch، الرئيس التنفيذي لفيركل، أن بيانات العملاء المخزنة لدى الشركة مشفرة بالكامل، إلا أن المهاجم تمكن من الوصول الإضافي من خلال عملية تعداد المتغيرات البيئية:

«نعتقد أن المجموعة المهاجمة متطورة للغاية، وأشك بشدة في أن الذكاء الاصطناعي ساهم بشكل كبير في تسريعها. تحركوا بسرعة مذهلة وفهم عميق لفيركل».

مجموعة ShinyHunters تدعي مسؤوليتها

ادعت مجموعة تهديد تدعى ShinyHunters مسؤوليتها عن الهجوم في منشور على Telegram، وحاولت بيع البيانات المسروقة التي تزعم أنها تتضمن مفاتيح وصول وكود مصدر وقواعد بيانات.

أوضح Austin Larsen، المحلل الرئيسي في Google Threat Intelligence، في منشور على LinkedIn:

«من المحتمل أن يكون المهاجم متنكرًا يحاول استخدام اسم معروف لتعزيز شهرته. بغض النظر عن هوية الفاعل، فإن خطر التعرض حقيقي».

تحذيرات إضافية وتوصيات

حذر فيركل من أن الهجوم على تطبيق OAuth الخاص بـContext.ai في Google Workspace «كان موضوع اختراق أوسع، مما أثر محتملًا على مئات مستخدميه عبر العديد من المنظمات».

نشر فيركل مؤشرات الاختراق وشجع العملاء على مراجعة سجلات النشاط وتدوير المتغيرات التي تحتوي على أسرار.

أكدت كل من فيركل وContext.ai أن تحقيقاتهما المنفصلة والمتناسقة، بمساعدة CrowdStrike وMandiant، لا تزال جارية.

الدروس المستفادة

  • نظم السحابة المتصلة: يجب مراجعة صلاحيات الدمجيات والتطبيقات الطرف الثالث بشكل دوري.
  • برامج الحماية من البرامج الضارة: تثبيت برامج الحماية وتحديثها بانتظام على جميع الأجهزة.
  • تدوير البيانات: ضرورة تدوير كلمات المرور والمفاتيح بانتظام لتقليل المخاطر.
  • الوعي الأمني: تدريب الموظفين على التعرف على محاولات الهندسة الاجتماعية والهجمات السيبرانية.
المصدر: CyberScoop
بعد قرار ميرابيللي.. المحكمة العليا تتجاهل قضية فوت دون تفسير
← السابق

بعد قرار ميرابيللي.. المحكمة العليا تتجاهل قضية فوت دون تفسير

 رئيس نفيذا يغضب ويواجه سؤالاً صعباً حول الصين.. ماذا قال؟
التالي →

رئيس نفيذا يغضب ويواجه سؤالاً صعباً حول الصين.. ماذا قال؟