اكتشف باحثو الأمن الرقمي إطار عمل جديد ومتطور لسرقة بيانات الاعتماد يُعرف باسم PCPJack، والذي يستهدف البنية التحتية السحابية المكشوفة بشكل مباشر وفعال للغاية.
تكمن خطورة هذه الأداة في قدرتها الفائقة على حصد البيانات الحساسة من مختلف المنصات، بما في ذلك الخدمات السحابية والحاويات البرمجية وأدوات التطوير وحتى الخدمات المالية والإنتاجية.
وفقاً لما تابعه فريق تيكبامين، فإن PCPJack ليس مجرد برمجية عادية لسرقة البيانات، بل هو نظام متكامل يسعى للانتشار بشكل دودي (Worm-like) داخل الشبكات المخترقة، مما يسهل عملية الانتقال العرضي للوصول إلى أكبر عدد ممكن من الضحايا.
ما هو فيروس PCPJack وكيف يهدد الأنظمة السحابية؟
يعمل فيروس PCPJack كأداة شاملة لجمع المعلومات، حيث يقوم باستخراج بيانات الاعتماد وتصديرها إلى بنية تحتية يتحكم فيها المهاجمون. وتتضمن أهدافه الرئيسية ما يلي:
- بيئات الحاويات السحابية وتطبيقات المطورين
- قواعد البيانات الضخمة والخدمات المالية الرقمية
- بيانات الاعتماد المخزنة في الأنظمة والشبكات
تتمثل الغاية النهائية من هذه الحملة الهجومية في تحقيق عوائد مالية غير مشروعة للمهاجمين، سواء عبر الاحتيال أو الابتزاز أو بيع الوصول غير المصرح به للشبكات الحساسة في الأسواق السوداء.
ما هي الخدمات السحابية المستهدفة من هذه البرمجية؟
صُمم PCPJack خصيصاً لاستهداف تقنيات سحابية عالمية شائعة الاستخدام، مما يجعل خطره يمتد ليشمل آلاف المؤسسات. وحسب تقرير تيكبامين، تشمل قائمة الأهداف:
- منصات إدارة الحاويات مثل Docker و Kubernetes
- أنظمة قواعد البيانات السريعة مثل Redis و MongoDB
- منصات تعلم الآلة مثل RayML وتطبيقات الويب الضعيفة
ما يثير الاهتمام في هذا الهجوم هو استخدامه لثغرات أمنية معروفة وتكوينات خاطئة في الخدمات السحابية، مما يسمح له بالتحرك بحرية داخل الشبكات دون إثارة الشكوك في كثير من الأحيان.
كيف ينتشر PCPJack داخل الشبكات المخترقة؟
تبدأ عملية الهجوم باستخدام نص برمجبي (Bootstrap Shell Script) يقوم بتهيئة بيئة الجهاز الضحية وتنزيل الأدوات اللازمة للمرحلة التالية. وتتضمن هذه العملية عدة خطوات تقنية معقدة:
- تثبيت لغة البرمجة Python على النظام لضمان تشغيلPayloads
- إنشاء اتصال دائم (Persistence) لضمان بقاء الفيروس حتى بعد إعادة التشغيل
- تحميل 6 نصوص برمجية متخصصة بلغة Python لتنفيذ مهام التجسس والسرقة
- استخراج أهداف جديدة للانتشار من أرشيف Common Crawl المتاح للجمهور
كما يمتلك الفيروس ميزة عدوانية تتمثل في البحث عن أي آثار لمجموعة منافسة تُدعى TeamPCP وحذفها فوراً من النظام المصاب، لضمان سيطرته الكاملة على الموارد الضحية.
ما الفرق بين PCPJack ومجموعة TeamPCP الشهيرة؟
رغم وجود تشابه كبير في التكتيكات والأهداف بين PCPJack ومجموعة TeamPCP التي برزت العام الماضي، إلا أن هناك فرقاً جوهرياً في استراتيجية تحقيق الأرباح:
- TeamPCP: تركز بشكل أساسي على تعدين العملات المشفرة بشكل سري داخل الأجهزة المخترقة.
- PCPJack: يتجنب التعدين تماماً ويركز حصرياً على سرقة البيانات والابتزاز وبيع الوصول.
يرى الخبراء أن هذا التشابه يشير إلى أن مطور PCPJack قد يكون عضواً سابقاً في TeamPCP، حيث يمتلك المعرفة التقنية العميقة بأساليب عمل المجموعة لكنه يفضل استراتيجية هجومية مختلفة تركز على البيانات بدلاً من قدرة المعالجة.
في الختام، يمثل PCPJack تذكيراً قوياً بأهمية تأمين الحاويات السحابية وقواعد البيانات، وضرورة سد الثغرات الأمنية المعروفة فوراً لتجنب الوقوع ضحية لهذه البرمجيات الدودية المتطورة.
