في فبراير الماضي، لجأ أحد موظفي شركة Context.ai إلى تثبيت ملف صغير يُعرف باسم Roblox Cheat، لتحسين تجربة لعبة روبلوكس، وهو نوع من البرمجيات التي يلجأ إليها بعض المستخدمين للحصول على مزايا غير مشروعة داخل الألعاب، مثل كسر القيود، أو اللعب في مستويات مدفوعة، أو التلاعب بقواعد اللعب.

لكن هذا الملف لم يكن مجرد أداة غش تقليدية، بل كان يحتوي على برمجية خبيثة من نوع stealer قادرة على سرقة بيانات الدخول، وملفات الارتباط (كوكيز)، والجلسات النشطة من الجهاز المصاب، لتبدأ عند هذه اللحظة أولى خطوات سلسلة هجوم سيبراني كان له تأثير سلبي على عدد كبير من المواقع الإلكترونية والتطبيقات.

ونجحت البرمجية الخبيثة التي كانت مخفية داخل ملف Roblox Cheat؛ في الوصول إلى بيانات حساسة على جهاز الموظف، شملت رموز تشفير محتوى جلسات الاستخدام وبيانات الاعتماد، ما منح المهاجمين القدرة على التسلل إلى شركة Context.ai الرقمية دون حاجة إلى كلمات مرور تقليدية.

وتمثل هذه النقطة "الضربة الأولى" التي أعقبتها سلسلة اختراقات امتدت لاحقاً إلى واحدة من أبرز منصات النشر السحابي في العالم وهي منصة Vercel التي اعترفت بتعرضها للاختراق وتسريب بيانات عدد من عملائها.

نقطة الضعف

لم يكن Context.ai مجرد هدف عابر، فالشركة كانت تقدم أدوات تحليل تعتمد على الذكاء الاصطناعي، ومتصلة عبر خدمة توثيق الدخول OAuth مع حسابات منصة Google Workspace السحابية للخدمات المكتبية الخاصة بعملائها، ومن بينهم موظفون داخل شركة Vercel، لكن هذا النوع من التكامل، الذي يُفترض أنه يسهل العمل ويزيد الإنتاج، تحول في هذه الحالة إلى ممر خفي داخل شبكة الثقة بين الأنظمة المختلفة.

وفي بداية مارس الماضي، استغل المهاجمون الوصول إلى Context.ai للانتقال إلى المرحلة التالية؛ إذ تمكنوا عبر تطبيق OAuth المرتبط بـ Google Workspace، من الوصول إلى حساب أحد موظفي Vercel.

ولا يعتمد هذا النوع من الوصول على كلمة المرور، ولا يتأثر بتغييرها، وغالباً ما يتم منحه صلاحيات واسعة تشمل البريد الإلكتروني والملفات والتقويم، وهنا لم يكن المهاجم بحاجة إلى “اختراق” بالمعنى التقليدي، بل كان يتحرك داخل منظومة تمنحه صلاحيات موثوقة بالفعل.

النفاذ إلى القلب

بمجرد السيطرة على حساب Google Workspace الخاص بموظف Vercel، بدأت مرحلة التوسع داخل الأنظمة الداخلية للشركة، ووفق ما أكدته Vercel لاحقاً، تمكن المهاجم من الوصول إلى بعض أقسام العمل الداخلية، مستفيداً من سلسلة من التحركات التي انطلقت من الحساب المخترق.

التفاصيل الدقيقة لكيفية هذا الانتقال لم تُكشف بالكامل، لكن نتيجة الانتقال كانت واضحة، وهي وصول فعلي إلى طبقة حساسة داخل Vercel.

اقرأ أيضاً

اقرأ أيضاً

جوجل ترصد أول برمجية خبيثة في العالم "تطور نفسها لحظياً"

أعلنت مجموعة استخبارات التهديدات التابعة لجوجل (Google Threat Intelligence Group – GTIG) عن اكتشاف برمجية خبيثة جديدة مدعومة بالذكاء الاصطناعي.

استهداف الأسرار

في هذه المرحلة، بدأ المهاجم استهداف ما يُعرف بمتغيرات البيئة داخل مشروعات Vercel، وهي تُستخدم لتخزين مفاتيح برمجية API وبيانات الاتصال بقواعد البيانات وأسرار المصادقة، أي أنها تمثل مفاتيح التشغيل الفعلية.....

لقراءة المقال بالكامل، يرجى الضغط على زر "إقرأ على الموقع الرسمي" أدناه

هذا المحتوى مقدم من الشرق للأخبار