ترصد برمجية تعدين خبيثة تنتشر عبر بيئات الحاويات غير المحمية

رصد خبراء الخدمات الأمنية لدى كاسبرسكي عملية هجوم سيبراني متقدمة تستغل البيئات المعزولة لتثبيت برمجية لتعدين العملة المشفرة Dero، حيث يقوم المخترقون باستغلال الثغرات في واجهات برمجة تطبيقات Docker - وهي عناصر من منصة Docker مفتوحة المصدر لتطوير الحاويات.

تشير إحصاءات عام 2025 إلى وجود نحو 500 منفذ افتراضي لواجهات البرمجية Docker معرض للخطر شهرياً حول العالم. وفي الحملة المرصودة، يستخدم المجرمون السيبرانيون برمجيتين خبيثتين: إحداهما للتعدين والأخرى برمجية خبيثة مصممة لتوسيع نطاق الحملة إلى شبكات الحاويات الضعيفة الأخرى.

رصد خبراء كاسبرسكي هذه الحملة الخبيثة أثناء عملهم على مشروع لتقييم الثغرات الأمنية. حسب تقييم الخبراء، فإن أي مؤسسة تشغل بنية تحتية محتواة تصبح هدفاً محتملاً إذا كشفت واجهات برمجة تطبيقات Docker دون ضمانات أمنية صارمة. يمكن أن تتضمن القائمة شركات التكنولوجيا، ومطوري البرمجيات، ومقدمي خدمات الاستضافة والحوسبة السحابية، وغيرها من المؤسسات.

يكشف موقع Shodan أن متوسط المنافذ الافتراضية غير المحمية لواجهات برمجة تطبيقات Docker يبلغ 485 منفذاً شهرياً عالمياً في 2025. يعكس هذا العدد نطاق الهجمات المحتملة للحملة عبر حصر «نقاط الدخول» - وهي المنافذ غير المحمية التي قد يستغلها المهاجمون.

عندما يكتشف المهاجمون واجهة برمجة تطبيقات Docker غير محمية، يقومون إما باختراق الحاويات القائمة أو إنشاء حاويات خبيثة جديدة مبنية على نسخة Ubuntu الأصلية. بعد ذلك يقومون بزرع نوعين من البرامج الخبيثة داخل الحاويات المخترقة: «nginx» و«cloud». هذا الأخير هو برمجية لتعدين العملة المشفرة Dero، أما «nginx» فهو برمجية خبيثة تضمن البقاء في النظام وتشغيل برنامج التعدين والبحث عن بيئات غير محمية أخرى. يستطيع المهاجمون، عبر هذه البرمجية الخبيثة، تجاوز الحاجة لخوادم التحكم التقليدية (C2)، إذ تعمل كل حاوية مخترقة بشكل منفرد لمسح الشبكة ونشر برنامج التعدين إلى أهداف جديدة.

يشرح أمجد وجيه، خبير الاستجابة للحوادث وتقييم الاختراقات لدى خدمات كاسبرسكي الأمنية قائلاً: «قد تنمو الإصابات بصورة متسارعة خلال هذه الحملة، إذ تتحول كل حاوية مصابة إلى نقطة هجوم جديدة، ما لم تُطبق تدابير حماية عاجلة في الشبكات المعرضة للخطر».

ويضيف: «الحاويات هي الأساس لتطوير البرمجيات ونشرها وقابليتها للتوسّع. انتشار استخدامها في البيئات السحابية الأصلية، وعمليات التطوير، وهندسة الخدمات المصغرة يجعلها هدفاً جذاباً للمهاجمين السيبرانيين. هذا الاعتماد المتزايد يتطلب من المؤسسات تبني نهج شامل للأمن - يجمع بين حلول أمنية قوية مع الكشف الاستباقي عن التهديدات وتقييمات الاختراق الدورية.»

أدرج المهاجمون الاسمين «nginx» و«cloud» مباشرة في الملف الثنائي - وهو ملف تنفيذي ثابت يتألف من أوامر ومعلومات مخصصة للمعالج، وليست للبشر. هذا أسلوب تمويه معروف يسمح للبرمجية الخبيثة بالتخفي على هيئة أداة مشروعة، بهدف تضليل المحللين وآليات الحماية التلقائية.

للتخفيف من التهديدات المتعلقة بالحاويات، تقدّم كاسبرسكي التوصيات التالية:

على الشركات التي تستخدم واجهات برمجة تطبيقات Docker إجراء مراجعة فورية لأمن بنيتها التحتية غير المحمية - خاصة تجنب نشر واجهات برمجة تطبيقات Docker إلا للضرورة التشغيلية، مع دراسة تأمينها باستخدام TLS.
تعرف على الهجمات السيبرانية الحالية والهجمات السابقة التي لم يتم اكتشافها وتجاوزت أنظمة المراقبة، عبر خدمة Kaspersky Compromise Assessment.
تعتبر تقنية الحاويات الطريقة الأكثر رواجاً في تطوير التطبيقات حالياً. غير أن المخاطر قد تنشأ في أي عنصر من عناصر البنية التحتية للحاوية وقد تؤثر بشكل كبير على سير الأعمال. تعد حماية بيئات الحاويات أمراً حيوياً ويستلزم استخدام حلول أمنية مخصصة. يقدم نظام Kaspersky Container Security حماية شاملة لكافة مراحل تطوير التطبيقات القائمة على الحاويات. بالإضافة إلى عملية التطوير، يوفر الحل حماية لبيئة التشغيل، حيث يضمن تشغيل الحاويات الموثوقة فقط، ويراقب عمل التطبيقات والخدمات داخل الحاويات وحركة البيانات.
استخدم خدمات كاسبرسكي الأمنية المُدارة التي تشمل تقييم الاختراق، و الكشف والاستجابة المُدارة (MDR)، و الاستجابة للحوادث، والتي تغطي كامل دورة إدارة الحوادث - بدءاً من رصد التهديدات وحتى الحماية المستمرة والإصلاح. توفر هذه الخدمات الحماية من الهجمات الإلكترونية المراوغة، والتحقيق في الحوادث، والاستفادة من خبرات متخصصة حتى في حال نقص كوادر الأمن السيبراني بالشركة.