يشكل برمجية خبيثة جديدة تُعرف باسم “CanisterWorm” تهديداً متزايداً للبيئات السحابية، حيث تستهدف بشكل منهجي أنظمة Docker و Kubernetes و Redis. تسعى هذه البرمجية، التي تشنها جهة خبيثة تدعى “TeamPCP”، إلى الحصول على وصول غير مصرح به وسرقة البيانات الحساسة من المؤسسات.
بدأت الحملة في أواخر عام 2025، وتركزت بشكل كبير على منصات الحوسبة السحابية الشهيرة مثل Azure و AWS. وفقاً لتقارير أمنية حديثة، فإن 97% من الأنظمة المخترقة تقع ضمن هاتين المنصتين، مما يسلط الضوء على ضرورة تأمين هذه البيئات بشكل فوري.
CanisterWorm: تهديد متطور في العالم الرقمي
تستخدم برمجية CanisterWorm طرقاً متطورة للانتشار والتغلغل داخل الشبكات، معتمدة على مجموعة من الثغرات المعروفة وإعدادات الحوسبة السحابية غير الآمنة. إن قدرتها على الانتشار الذاتي تجعلها شبيهة بالديدان، مما يزيد من صعوبة احتواءها.
من جهة أخرى، يستغل المهادون الذين يقفون وراء هذه البرمجية تطبيقات المراسلة الفورية مثل Telegram لابتزاز المؤسسات التي تتعرض لهجماتها. وتتضمن التقارير أيضاً استخدام البنية التحتية ذاتها في هجمات تدميرية تستهدف أنظمة مرتبطة بإيران.
الهجوم على Trivy وتداعياته
في خطوة تصعيدية، قامت جهة TeamPCP بهجوم سلسلة توريد استهدف Trivy، وهو ماسح ثغرات شائع الاستخدام. تم حقن برمجيات خبيثة لسرقة بيانات الاعتماد في إصدارات رسمية من GitHub Actions، مما أدى إلى اختراق مفاتيح SSH، وبيانات اعتماد سحابية، ورموز Kubernetes، ومحافظ العملات المشفرة.
ومع ذلك، لم تتوقف الهجمات عند هذا الحد. فقد تم نشر حمولة تدميرية جديدة تستهدف الأنظمة التي تستخدم المنطقة الزمنية الإيرانية أو اللغة الفارسية. أكد باحثو الأمن أن هذه البرمجية تستهدف تدمير البيانات عبر كل عقدة في أي مجموعة Kubernetes، أو تمحو الجهاز المحلي إذا لم يتم اكتشاف مجموعة.
يشير هذا التمييز الجغرافي إلى تحول في استراتيجيات المجموعات التي تركز على برامج الفدية، حيث تدمج الآن أهدافاً سياسية إلى جانب الأهداف المالية. وأفادت التقارير بأن TeamPCP أعلنت عن وصولها إلى سجلات حساسة لشركة أدوية عالمية كبيرة.
البنية التحتية المدعومة بالبلوكتشين
أحد الجوانب المثيرة للاهتمام تقنياً لـ CanisterWorm هو استخدامها لـ Internet Computer Protocol (ICP) canisters. هذه العقود الذكية القائمة على البلوكتشين توفر وحدة متكاملة من التعليمات البرمجية والبيانات، مما يجعلها مقاومة للتلاعب وصعبة الإزالة.
تسمح هذه البنية التحتية للمهاجمين بإبقاء قنوات الاتصال نشطة طالما تم دفع الرسوم اللازمة. وهذا يجعل طرق المكافحة التقليدية، مثل الاستيلاء على الخوادم، غير فعالة إلى حد كبير.
بالإضافة إلى ذلك، تظهر قدرة TeamPCP على تعديل الحمولة الخبيثة بسرعة، وسحبها مؤقتاً، وإعادة توجيهها إلى محتوى عشوائي، مرونة عالية. هذا يضع تحديات كبيرة أمام فرق الأمن السيبراني التي تسعى إلى الكشف عن هذه التهديدات واحتوائها.
توصي الجهات الأمنية المؤسسات التي تستخدم Docker أو Kubernetes أو Redis بمراجعة إعدادات الأمان الخاصة بها على الفور. ويجب على الفرق المعنية تدوير مفاتيح SSH وبيانات الاعتماد ورموز Kubernetes، خاصة إذا تم استخدام أدوات مثل Trivy في مسارات CI/CD خلال الفترة المتأثرة. كما يُنصح بشدة بمراقبة الحركة الجانبية والسلوك المعتمد على الموقع داخل الحاويات.