كشفت شركة فيرسيل (Vercel) عن تحديد مجموعة إضافية من حسابات العملاء التي تعرضت للاختراق، نتيجة ثغرة أمنية مرتبطة بأداة كونتيكست (Context.ai) مؤخرًا.
كيف تم اختراق حسابات فيرسيل عبر كونتيكست؟
أوضحت شركة فيرسيل (Vercel) أنها توصلت إلى هذا الاكتشاف بعد توسيع نطاق تحقيقاتها الأمنية لتشمل مؤشرات اختراق إضافية، إلى جانب مراجعة دقيقة لسجلات الشبكة وأحداث قراءة متغيرات البيئة (Environment Variables). وحسب تيكبامين، فقد أظهرت التحقيقات أن المهاجمين تمكنوا من الوصول إلى أنظمة داخلية حساسة.
ووفقًا للشركة، فقد تم الكشف عن نقاط الضعف التالية:
- وصول غير مصرح به إلى حسابات Google Workspace الخاصة بموظفي الشركة.
- استخدام أدوات ذكاء اصطناعي غير مصرح بها (Shadow AI) داخل بيئة العمل.
- القدرة على تعداد وفك تشفير متغيرات البيئة غير الحساسة في بيئة فيرسيل.
- تأثر عدد محدود من الحسابات قبل الحادث الأخير نتيجة أساليب هندسة اجتماعية أو برمجيات خبيثة مستقلة.
قصة لوما ستيلر: كيف بدأت سلسلة الاختراقات؟
كشفت تحقيقات إضافية أجرتها شركة هادسون روك (Hudson Rock) عن تفاصيل مثيرة حول "المريض صفر" في هذه الهجمة. فقد تبين أن أحد موظفي شركة كونتيكست (Context.ai) أصيب ببرمجية لوما ستيلر (Lumma Stealer) الخبيثة في فبراير 2026.
بدأت القصة عندما قام الموظف بالبحث عن أدوات غش وأكواد برمجية للعبة روبلوكس (Roblox)، مما أدى إلى تحميل برمجية خبيثة سرقت الرموز الأمنية (Tokens) الخاصة بحسابه. ومن هنا، تمكن المهاجم من السيطرة على حساب الموظف، ومن ثم الوصول إلى أنظمة الشركة المرتبطة بمنصة فيرسيل.
تطور الهجمات السيبرانية
صرح جيرمو راوش، الرئيس التنفيذي لشركة فيرسيل، أن الجهات المهددة أصبحت أكثر نشاطًا في البحث عن الرموز الأمنية والمفاتيح الحساسة. وأشار إلى أن استهداف أجهزة الموظفين الشخصية أو استخدامهم لأدوات غير معتمدة يعد من أكبر الثغرات التي تستغلها مجموعات الاختراق حاليًا.
ما هو خطر الذكاء الاصطناعي الخفي على أمن البيانات؟
أثار هذا الحادث نقاشًا واسعًا حول ما يسمى بـ "الذكاء الاصطناعي الخفي" (Shadow AI)، وهو استخدام الموظفين لأدوات الذكاء الاصطناعي وتطبيقات SaaS دون موافقة رسمية من قسم تقنية المعلومات. كما سلط الضوء على مخاطر تكاملات OAuth التي تمنح ثقة مفرطة للتطبيقات الخارجية.
وتكمن خطورة هذه التكاملات في النقاط التالية:
- وراثة صلاحيات المستخدم والمؤسسة بشكل كامل.
- تجاوز بعض ضوابط الأمان التي تعتمد عليها فرق الحماية للكشف عن اختراق الحسابات المباشر.
- سرعة المهاجمين في التنقل داخل البيئات الداخلية قبل اكتشافهم.
وفي الختام، تؤكد تيكبامين على ضرورة مراجعة الشركات لسياسات استخدام الأدوات الخارجية وتفعيل المصادقة الثنائية الصارمة. إن سرعة المهاجمين في استغلال الثغرات وتعداد البيئات الداخلية تغير تمامًا قواعد اللعبة في مجال الأمن الرقمي، مما يتطلب يقظة أمنية مستمرة لمنع أي اختراق مستقبلي.
