الصفحة الرئيسيةالأخبار* يستغل المهاجمون واجهات برمجة التطبيقات الخاصة بـ Docker المهيأة بشكل غير صحيح لتعدين العملات المشفرة في بيئات السحابة.
يستخدمون شبكة تور لإخفاء أنشطتهم أثناء نشر معدني العملات المشفرة.
يكتسب المهاجمون الوصول، ويقومون بإنشاء حاويات جديدة، ويقومون بتركيب دلائل النظام الحرجة، مما يعرض حاويات الهروب للخطر.
الهجوم يتضمن تثبيت أدوات ونصوص لإعداد الوصول عن بُعد، وجمع البيانات، وتثبيت مُعدِّن XMRig.
تظهر النتائج الأخيرة وجود مئات من بيانات الاعتماد المسربة في مستودعات الشيفرة العامة، مما يعرض الشركات لمزيد من المخاطر.
تستهدف حملة نشطة حالات Docker غير المهيأة بشكل صحيح لاستخراج العملات المشفرة سراً، وفقًا للنتائج التي أصدرتها Trend Micro في يونيو 2025. يُزعم أن المهاجمين يستغلون واجهات برمجة تطبيقات Docker غير المهيأة، مستخدمين شبكة Tor للبقاء مجهولين أثناء نشر أدوات تعدين العملات المشفرة على الحاويات المستضافة في السحابة.
الإعلانات - لاحظ الباحثون أن الهجوم يبدأ عادة بطلب إلى Docker API لاسترداد قائمة بالحاويات على المضيف. في حالة عدم وجود حاويات، يقوم المهاجمون بإنشاء حاوية جديدة باستخدام صورة "alpine" وتحميل الدليل الجذر للنظام المضيف كوحدة تخزين مشتركة. يمكن أن تسمح هذه الخطوة للمهاجمين بتجاوز عزل الحاوية والوصول إلى الملفات الموجودة على الجهاز المضيف، مما يزيد من خطر اختراق النظام على نطاق أوسع.
** ينص Trend Micro ** على أنه بعد إنشاء حاوية جديدة ، يقوم المهاجمون بتشغيل برنامج نصي shell مشفر ب Base64 لتثبيت Tor داخل الحاوية. ثم يقومون بتنزيل وتنفيذ برنامج نصي بعيد مستضاف على عنوان .onion ، باستخدام أدوات وإعدادات مثل "socks5h" لتوجيه جميع حركة المرور عبر Tor. وفقا للباحثين ، * "إنه يعكس تكتيكا شائعا يستخدمه المهاجمون لإخفاء البنية التحتية (C والتحكم C) ، وتجنب اكتشافها ، وتسليم البرامج الضارة أو عمال المناجم داخل بيئات السحابة أو الحاويات المخترقة" ، مضيفا أن هذه الطريقة تعقد الجهود المبذولة لتتبع أصل الهجوم.
بمجرد إعداد البيئة، يقوم المهاجمون بنشر برنامج نصي يسمى "docker-init.sh." يتحقق هذا البرنامج النصي مما إذا كان دليل "/hostroot" مركبًا، ويغير إعدادات SSH لتمكين تسجيل الدخول كجذر، ويضيف مفتاح SSH للمهاجم للوصول المستقبلي. يتم تثبيت أدوات إضافية، مثل masscan و torsocks، مما يسمح للمهاجمين بمسح الشبكات وتجنب الكشف بشكل أكبر. تتوج الهجمة بتثبيت مُعدن العملات الرقمية XMRig، الذي يتم تكوينه مع عناوين المحافظ ومجموعات التعدين التي يتحكم فيها الفاعلون المهددون.
Trend Micro تشير إلى أن هذا النشاط يستهدف بشكل أساسي قطاعات التكنولوجيا والمالية والرعاية الصحية. تسلط الشركة الضوء أيضا على مخاطر أمنية ذات صلة بعد أن اكتشفت ** Wiz ** أن المئات من بيانات الاعتماد الحساسة قد ظهرت في المستودعات العامة ، بما في ذلك الملفات الموجودة في دفاتر ملاحظات Python وملفات تكوين التطبيقات ، مع المنظمات المتأثرة التي تتراوح من الشركات الناشئة إلى ** شركات Fortune 100 **. يحذر الباحثون من أن نتائج تنفيذ التعليمات البرمجية في دفاتر ملاحظات Python المشتركة يمكن أن تكشف عن معلومات قيمة للمهاجمين القادرين على ربطها مرة أخرى بمصادرهم.
تسلط الاتجاهات الضوء على أهمية تأمين بيئات السحابة والحاويات، خاصةً مع استمرار المهاجمين في أتمتة الاستغلالات والبحث عن بيانات اعتماد مكشوفة عبر مستودعات التعليمات البرمجية العامة.
المقالات السابقة:
ماستركارد تنضم إلى شبكة الدولار العالمية باكسوس لتعزيز العملات المستقرة
أسواق التشفير ترتفع حيث يتوسط ترامب في وقف إطلاق النار بين إيران وإسرائيل
الاحتياطي الفيدرالي يتخلى عن "مخاطر السمعة" في إشراف البنوك
مسؤولو فورت مايرز يفرضون رقابة على ارتفاع عمليات الاحتيال عبر أجهزة الصراف الآلي للعملات المشفرة على المسنين
ETH يرتفع بنسبة 8% بعد إعلان ترامب عن وقف إطلاق النار بين إسرائيل وإيران
المحتوى هو للمرجعية فقط، وليس دعوة أو عرضًا. لا يتم تقديم أي مشورة استثمارية أو ضريبية أو قانونية. للمزيد من الإفصاحات حول المخاطر، يُرجى الاطلاع على إخلاء المسؤولية.
المهاجمون يستغلون واجهات برمجة التطبيقات الخاصة بـ Docker و Tor لإطلاق هجمات اختطاف سحابية للعملات الرقمية
الصفحة الرئيسيةالأخبار* يستغل المهاجمون واجهات برمجة التطبيقات الخاصة بـ Docker المهيأة بشكل غير صحيح لتعدين العملات المشفرة في بيئات السحابة.
** ينص Trend Micro ** على أنه بعد إنشاء حاوية جديدة ، يقوم المهاجمون بتشغيل برنامج نصي shell مشفر ب Base64 لتثبيت Tor داخل الحاوية. ثم يقومون بتنزيل وتنفيذ برنامج نصي بعيد مستضاف على عنوان .onion ، باستخدام أدوات وإعدادات مثل "socks5h" لتوجيه جميع حركة المرور عبر Tor. وفقا للباحثين ، * "إنه يعكس تكتيكا شائعا يستخدمه المهاجمون لإخفاء البنية التحتية (C والتحكم C) ، وتجنب اكتشافها ، وتسليم البرامج الضارة أو عمال المناجم داخل بيئات السحابة أو الحاويات المخترقة" ، مضيفا أن هذه الطريقة تعقد الجهود المبذولة لتتبع أصل الهجوم.
بمجرد إعداد البيئة، يقوم المهاجمون بنشر برنامج نصي يسمى "docker-init.sh." يتحقق هذا البرنامج النصي مما إذا كان دليل "/hostroot" مركبًا، ويغير إعدادات SSH لتمكين تسجيل الدخول كجذر، ويضيف مفتاح SSH للمهاجم للوصول المستقبلي. يتم تثبيت أدوات إضافية، مثل masscan و torsocks، مما يسمح للمهاجمين بمسح الشبكات وتجنب الكشف بشكل أكبر. تتوج الهجمة بتثبيت مُعدن العملات الرقمية XMRig، الذي يتم تكوينه مع عناوين المحافظ ومجموعات التعدين التي يتحكم فيها الفاعلون المهددون.
Trend Micro تشير إلى أن هذا النشاط يستهدف بشكل أساسي قطاعات التكنولوجيا والمالية والرعاية الصحية. تسلط الشركة الضوء أيضا على مخاطر أمنية ذات صلة بعد أن اكتشفت ** Wiz ** أن المئات من بيانات الاعتماد الحساسة قد ظهرت في المستودعات العامة ، بما في ذلك الملفات الموجودة في دفاتر ملاحظات Python وملفات تكوين التطبيقات ، مع المنظمات المتأثرة التي تتراوح من الشركات الناشئة إلى ** شركات Fortune 100 **. يحذر الباحثون من أن نتائج تنفيذ التعليمات البرمجية في دفاتر ملاحظات Python المشتركة يمكن أن تكشف عن معلومات قيمة للمهاجمين القادرين على ربطها مرة أخرى بمصادرهم.
تسلط الاتجاهات الضوء على أهمية تأمين بيئات السحابة والحاويات، خاصةً مع استمرار المهاجمين في أتمتة الاستغلالات والبحث عن بيانات اعتماد مكشوفة عبر مستودعات التعليمات البرمجية العامة.
المقالات السابقة: