كشفت عملية قرصنة متطورة عن استخدام جهات خبيثة لأدوات آلية ومساعدة الذكاء الاصطناعي وروبوتات تيليجرام لتتبع أكثر من 900 اختراق ناجح لأنظمة الشركات حول العالم. وقد استهدفت هذه الحملة، التي بنيت حول أداة تُعرف باسم “Bissa scanner”، تطبيقات الويب المكشوفة على الإنترنت على نطاق واسع، لجمع بيانات اعتماد حساسة وإرسال تنبيهات فورية بالاختراق إلى حساب المهاجم على تيليجرام.
تركز الهجوم بشكل خاص على ثغرة أمنية حرجة في Next.js، والتي تم تعيينها بالرمز CVE-2025-55182، ووصفها خبراء الأمن السيبراني بأنها React2Shell. هذه الثغرة سمحت للمهاجمين باستهداف ملايين خوادم الويب وسحب ملفات البيئة الحساسة (.env)، التي غالباً ما تحتوي على كلمات مرور، مفاتيح واجهة برمجة التطبيقات، ورموز الوصول.
عملية قرصنة متقدمة تستخدم روبوتات تيليجرام
لم يكتفِ المهاجم بالمسح العشوائي، بل بنى تدفق عمل منظماً للعثور على الضحايا واستغلالهم وترتيبهم بناءً على القيمة المحتملة للبيانات المسروقة. وقد شكلت الشركات المالية، ومنصات العملات المشفرة، وقطاع التجزئة من بين الأهداف الأكثر تضرراً.
تمكن محللو تقرير DFIR من تحديد النطاق الكامل لهذه الحملة بعد اكتشاف خادم مكشوف يحتوي على أكثر من 13,000 ملف موزعة عبر أكثر من 150 دليلاً. وأشار الخبراء إلى أن محتويات الخادم لم تكن مجرد بيانات مبعثرة، بل كانت تمثل عملية منظمة باحترافية، تشمل نصوصات برمجية للاستغلال، وتخزين بيانات الضحايا، وجمع بيانات الاعتماد، والتحقق من الوصول، وكلها تعمل في مكان واحد.
كشف الخادم المكشوف أيضاً عن استخدام المهاجم لـ Claude Code وأداة تسمى OpenClaw للمساعدة في استكشاف الأخطاء وإصلاحها وإدارة سير العمل، مما منح الهجوم مستوى من الأتمتة والكفاءة نادراً ما يُشاهد في حملات الاستغلال الجماعي. ومع ذلك، فإن ما جعل هذا الاكتشاف مهماً بشكل خاص هو استخدام المهاجم لتيليجرام كنظام إشعارات مباشر.
دور روبوتات تيليجرام في الحملة
كانت نصوصات التشغيل (Runner scripts) ضمن إطار عمل Bissa scanner مبرمجة بشكل صارم برمز مميز لروبوت تيليجرام (@bissapwned_bot). في كل مرة كان الماسح يؤكد نجاح استغلال React2Shell، كان الروبوت يرسل تنبيهاً منظماً مباشرة إلى محادثة المهاجم الخاصة على تيليجرام.
تلقى المهاجم، الذي يمكن التعرف عليه علناً من خلال اسم مستخدم تيليجرام @BonJoviGoesHard واسم العرض “Dr. Tube”، سطراً واحداً لكل اختراق مؤكد، يحتوي على هوية الضحية، وضع الغيمة (cloud posture)، مستوى الامتيازات، والأسرار المتاحة. وهذا منح المهاجم القدرة على فرز مئات الاختراقات في الوقت الفعلي تقريباً، مباشرة من تطبيق المراسلة.
بلغت حصيلة بيانات الاعتماد التي تم جمعها كميات هائلة. عبر عشرات الآلاف من ملفات .env، جمع المهاجم مفاتيح ورموزاً من مزودي الذكاء الاصطناعي مثل Anthropic وOpenAI، ومنصات الغيمة بما في ذلك AWS وAzure، وأنظمة الدفع مثل Stripe وPayPal، وقواعد البيانات مثل MongoDB وSupabase.
بين 10 و 21 أبريل 2026، قام المهاجم بتحميل أكثر من 65,000 ملف مؤرشف إلى مخزن تخزين غيمة يسمى “bissapromax” باستخدام Filebase المتوافقة مع S3، مما يوضح مدى الأتمتة والاستمرارية في خط أنابيب جمع البيانات.
التأثيرات والإجراءات الدفاعية
أشار محللو تقرير DFIR إلى عدة تدابير دفاعية قوية يجب على المؤسسات تطبيقها على الفور. أولاً، تحديث الأنظمة باستمرار والاشتراك في إشعارات البائعين لتجنب إغفال الثغرات الحرجة. ثانياً، نقل بيانات الاعتماد الإنتاجية من ملفات .env إلى مديري أسرار مخصصين، وإدخالها في وقت التشغيل بأذونات محدودة وعمر قصير.
ثالثاً، يجب على المؤسسات التحكم في حركة المرور الصادرة من طبقات التطبيق عبر وكيل مسجل لمنع الأنظمة المخترقة من الوصول سراً إلى البنية التحتية للمهاجم. أخيراً، يجب تدوير بيانات الاعتماد بجدول زمني منتظم، وفحص التعليمات البرمجية والمخرجات بحثاً عن أسرار مدمجة، وزرع “شُرك” (canary tokens) تُطلق تنبيهاً في اللحظة التي يتم فيها الوصول إليها من قبل طرف غير مصرح له.