كاسبرسكي ترصد برمجية تعدين خبيثة تنتشر عبر بيئات الحاويات غير المحمية

رصد خبراء الخدمات الأمنية لدى كاسبرسكي عملية هجوم سيبراني متقدمة تستغل البيئات المعزولة لتثبيت برمجية لتعدين العملة المشفرة Dero. حيث يقوم المخترقون باستغلال الثغرات في واجهات برمجة تطبيقات Docker – وهي عناصر من منصة Docker مفتوحة المصدر لتطوير الحاويات. تشير إحصاءات عام 2025 إلى وجود نحو 500 منفذ افتراضي لواجهات البرمجية Docker معرض للخطر شهرياً حول العالم. وفي الحملة المرصودة، يستخدم المجرمون السيبرانيون برمجيتين خبيثتين:

إحداهما للتعدين والأخرى برمجية خبيثة مصممة لتوسيع نطاق الحملة إلى شبكات الحاويات الضعيفة الأخرى.

رصد خبراء كاسبرسكي هذه الحملة الخبيثة أثناء عملهم على مشروع لتقييم الثغرات الأمنية. حسب تقييم الخبراء، فإن أي مؤسسة تشغل بنية تحتية محتواة تصبح هدفاً محتملاً إذا كشفت واجهات برمجة تطبيقات Docker دون ضمانات أمنية صارمة. يمكن أن تتضمن القائمة شركات التكنولوجيا، ومطوري البرمجيات، ومقدمي خدمات الاستضافة والحوسبة السحابية، وغيرها من المؤسسات.

يكشف موقع Shodan أن متوسط المنافذ الافتراضية غير المحمية لواجهات برمجة تطبيقات Docker يبلغ 485 منفذاً شهرياً عالمياً في 2025. يعكس هذا العدد نطاق الهجمات المحتملة للحملة عبر حصر «نقاط الدخول» – وهي المنافذ غير المحمية التي قد يستغلها المهاجمون.

عندما يكتشف المهاجمون واجهة برمجة تطبيقات Docker غير محمية، يقومون إما باختراق الحاويات القائمة أو إنشاء حاويات خبيثة جديدة مبنية على نسخة Ubuntu الأصلية. بعد ذلك يقومون بزرع نوعين من البرامج الخبيثة داخل الحاويات المخترقة: «nginx» و«cloud». هذا الأخير هو برمجية لتعدين العملة المشفرة Dero، أما «nginx» فهو برمجية خبيثة تضمن البقاء في النظام وتشغيل برنامج التعدين والبحث عن بيئات غير محمية أخرى. يستطيع المهاجمون، عبر هذه البرمجية الخبيثة، تجاوز الحاجة لخوادم التحكم التقليدية (C2)، إذ تعمل كل حاوية مخترقة بشكل منفرد لمسح الشبكة ونشر برنامج التعدين إلى أهداف جديدة.

يشرح أمجد وجيه، خبير الاستجابة للحوادث وتقييم الاختراقات لدى خدمات كاسبرسكي الأمنية قائلاً: «قد تنمو الإصابات بصورة متسارعة خلال هذه الحملة، إذ تتحول كل حاوية مصابة إلى نقطة هجوم جديدة، ما لم تُطبق تدابير حماية عاجلة في الشبكات المعرضة للخطر.» ويضيف: «الحاويات هي الأساس لتطوير البرمجيات ونشرها وقابليتها للتوسّع. انتشار استخدامها في البيئات السحابية الأصلية، وعمليات التطوير، وهندسة الخدمات المصغرة يجعلها هدفاً جذاباً للمهاجمين السيبرانيين. هذا الاعتماد المتزايد يتطلب من المؤسسات تبني نهج شامل للأمن – يجمع بين حلول أمنية قوية مع الكشف الاستباقي عن التهديدات وتقييمات الاختراق الدورية.»

أدرج المهاجمون الاسمين «nginx» و«cloud» مباشرة في الملف الثنائي – وهو ملف تنفيذي ثابت يتألف من أوامر ومعلومات مخصصة للمعالج، وليست للبشر. هذا أسلوب تمويه معروف يسمح للبرمجية الخبيثة بالتخفي على هيئة أداة مشروعة، بهدف تضليل المحللين وآليات الحماية التلقائية.