اختراق إصدار CLI لبيتورين، اعتقال "جامعي الديون السوداء" في كييف وغيرها من أحداث الأمن السيبراني - ForkLog: العملات الرقمية، الذكاء الاصطناعي، التفرد، المستقبل

# اختراق نسخة سطر الأوامر من Bitwarden، اعتقال “جامعي الديون السوداء” في كييف وغيرها من أحداث الأمن السيبراني

جمعنا أهم أخبار عالم الأمن السيبراني خلال الأسبوع.

• سرق هاكرز كوريون شماليون خلال ثلاثة أشهر عملة مشفرة بقيمة $12 مليون باستخدام أدوات الذكاء الاصطناعي.
• تبين أن المفاوض السابق مع المحتالين كان مساعدًا لهم.
• الاستخبارات البريطانية: 100 حكومة في العالم لديها وصول إلى برامج تجسس تجارية.
• تم دمج أداة معلوماتية في مدير كلمات المرور للمطورين Bitwarden.

سرق هاكرز كوريون شماليون خلال ثلاثة أشهر عملة مشفرة بقيمة $12 مليون باستخدام أدوات الذكاء الاصطناعي

خلال ثلاثة أشهر، سرقت مجموعة الهاكرز الكورية الشمالية HexagonalRodent حوالي $12 مليون من العملات المشفرة وأصابت أكثر من 2000 جهاز كمبيوتر لمطوري Web3 بهدف سرقة بيانات الاعتماد والوصول إلى محافظ العملات المشفرة. وفقًا للخبير في الأمن السيبراني Expel ماركوس هاتشينز.

اعتمد الهجوم على طريقة “وايبي-كودينج” — توليد برمجيات خبيثة وبنية تحتية عبر طلبات نصية إلى الشبكات العصبية:

• باستخدام أدوات تصميم الويب بالذكاء الاصطناعي من Anima، أنشأ الهاكرز مواقع لشركات تكنولوجيا معلومات غير موجودة؛
• استدرجوا الضحايا من خلال إعلانات وظائف مزيفة وطلبوا منهم إكمال “اختبار مهني” يحتوي على برمجيات خبيثة؛
• تم توليد كل الكود والمراسلات باللغة الإنجليزية المثالية باستخدام ChatGPT و Cursor.

مقطع من كود الهاكر. المصدر: Expel قام الخبير بتحليل بنية الهاكرز، والتي تركوها عن غير قصد مفتوحة. تسربت إلى الشبكة أوامرهم وقاعدة بيانات محافظ الضحايا. أشار هاتشينز إلى أن الكود المكتوب كان مليئًا بالتعليقات باللغة الإنجليزية والرموز التعبيرية — وهو مؤشر واضح على أن البرنامج تم توليده بالكامل بواسطة نماذج اللغة الكبيرة.

وفقًا لآراء هاتشينز، في عام 2026، حققت بيونغ يانغ قفزة نوعية باستخدام الذكاء الاصطناعي لأتمتة كل مرحلة من مراحل الهجمات السيبرانية، محولة المشغلين ذوي المهارات المنخفضة إلى تهديدات إلكترونية واسعة النطاق.

أنشطة HexagonalRodent هي جزء فقط من استراتيجية كوريا الشمالية العالمية لأتمتة الجرائم، وهو ما تؤكده تقارير شركات تكنولوجيا أخرى:

• أعلنت Microsoft أن المشغلين الكوريين الشماليين يستخدمون الذكاء الاصطناعي لإنشاء مستندات مزيفة، ودراسة الثغرات، والهندسة الاجتماعية؛
• أعلنت شركة Anthropic أنها أوقفت محاولات عملاء كوريا الشمالية لاستخدام نموذج Claude لتطوير فيروسات.

في تعليقات WIRED، أكد ممثلو OpenAI وCursor وAnima أن هناك حالات إساءة استخدام لخدماتهم. وقالوا إن الحسابات المرتبطة بالهاكرز تم حظرها، وسيساعد التحقيق في فهم كيفية منع وقوع حوادث مماثلة.

تبين أن المفاوض السابق مع المحتالين كان مساعدًا لهم

اعترف أنجيلو مارتيونو، الذي كان يتفاوض سابقًا مع المحتالين في شركة الأمن السيبراني DigitalMint، بأنه ساعد المجرمين الإلكترونيين. وفقًا لوزارة العدل الأمريكية.

اعترف مارتيونو بأنه لعب “على طرفي نقيض” في خمسة حوادث مختلفة. حيث كان يعمل رسميًا لصالح الضحايا، لكنه كان ينقل معلومات سرية لمشغلي البرمجيات الخبيثة ALPHV/BlackCat، كما زود الهاكرز ببيانات مثل حدود بوليصات التأمين على الضحايا واستراتيجيات التفاوض.

ثبت أن التحقيق أن مارتيونو زاد من المدفوعات التي يحصل عليها المجرمون، وكان يحصل على حصته منها.

كانت مجموعة ALPHV/BlackCat تعمل بنموذج CaaS، حيث تنشئ وتدعم البرمجيات لتشفير الملفات، ويستخدم “الشركاء” هذه البرمجيات في الهجمات ويدفعون جزءًا من الأرباح للمطورين.

في عام 2023، استولى رجال الشرطة على موقع الهاكرز في الدارك نت وأطلقوا برنامج فك تشفير ساعد أكثر من 500 ضحية على استعادة أنظمتها.

وفي عام 2025، ساعدت مجموعة المهاجمين نفسها موظفون آخرون في DigitalMint — كيفن تايلر مارتن وريان كليفورد جولدبرج. مع مارتيونو، كسبوا أكثر من 1.2 مليون دولار فقط من إحدى الضحايا.

اعترف مارتيونو بارتكاب جريمة الابتزاز، ويواجه عقوبة تصل إلى 20 سنة سجن. وصرحت السلطات بمصادرة أصوله بقيمة $10 مليون.

الاستخبارات البريطانية: 100 حكومة في العالم لديها وصول إلى برامج تجسس تجارية

وفقًا للمعلومات التي قدمتها الاستخبارات البريطانية، فإن أكثر من نصف حكومات العالم لديها وصول إلى برامج قادرة على اختراق الأجهزة لسرقة المعلومات السرية. وفقًا لموقع Politico.

ذكرت وسائل الإعلام أن الحواجز أمام الوصول إلى تقنيات المراقبة من هذا النوع قد انخفضت. كما لوحظ زيادة في عدد الدول التي تمتلك أدوات الاختراق هذه: الآن هناك 100 بدلاً من 80 كما كان معروفًا في 2023.

برامج التجسس التجارية، التي تطورها شركات خاصة مثل Pegasus من NSO Group، تعتمد غالبًا على استغلال الثغرات في برمجيات الهواتف وأجهزة الكمبيوتر. على الرغم من أن الحكومات تؤكد أن هذه الأدوات تُستخدم فقط ضد المشتبه بهم في جرائم خطيرة، بما في ذلك الإرهاب.

وفقًا للاستخبارات البريطانية، توسع “دائرة الضحايا” في السنوات الأخيرة من النقاد السياسيين والمعارضين والصحفيين إلى المصرفيين ورجال الأعمال الأثرياء.

تستخدم ICE الأمريكية برمجيات إسرائيلية من نوع Graphite. أكد مدير الوكالة المؤقت تود لينز هذه المعلومات لموقع NPR.

وقال إن قوات إنفاذ القانون تستخدم البرمجيات لمكافحة المنظمات الإرهابية الأجنبية وتجار الفنتانيل، الذين يستخدمون تطبيقات المراسلة المشفرة. تتيح البرمجيات الوصول إلى الرسائل على الهاتف دون الحاجة للنقر على روابط (zero-click).

تم دمج أداة معلوماتية في مدير كلمات المرور للمطورين Bitwarden

في 22 أبريل 2026، تم اختراق النسخة الرسمية من حزمة واجهة سطر الأوامر (CLI) من مدير كلمات المرور Bitwarden الإصدار 2026.4.0. كانت النسخة الموجودة في المستودع تحتوي على رمز خبيث لسرقة بيانات المطورين.

قام عدة شركات أمنية بتحليل سلسلة الإصابة وقدموا تقييمًا للحادث:

• أوضح خبراء JFrog أن الحزمة استخدمت محمل تحميل مخصص باسم bw_setup.js لتشغيل برنامج تجسس بشكل غير مرئي. كان الفيروس يجمع رموز npm وGitHub، ومفاتيح SSH، بالإضافة إلى بيانات الوصول إلى AWS وAzure وGoogle Cloud؛
• اكتشفت شركة OX Security أن البيانات المسروقة والمشفرة كانت تُرفع تلقائيًا عبر إنشاء مستودعات عامة على GitHub للضحية. كانت المستودعات تحمل عنوان Shai-Hulud: The Third Coming، وكان الفيروس قادرًا على الانتشار الذاتي؛
• أكدت شركة Socket أن هدف الفيروس هو بنية CI/CD التحتية. كما ربطوا هذا الحادث بسلسلة التوريد التي تعرضت للاختراق مؤخرًا في شركة Checkmarx.

نُسبت الهجمة إلى مجموعة الهاكرز TeamPCP، التي نفذت سابقًا حملات واسعة ضد مطوري مشاريع Trivy وLiteLLM. أوصى الخبراء المطورين بسرعة بتغيير جميع المفاتيح والرموز إذا كانوا قد تفاعلوا مع CLI المتأثر.

قامت شركة Bitwarden بحذف النسخة المصابة بسرعة خلال ساعة ونصف من بداية الهجوم، وأكدت أن مخازن المستخدمين وكلمات المرور لا تزال سليمة.

أصدرت شركة Apple تصحيحًا لثغرة سمحت لـ FBI بقراءة رسائل Signal المحذوفة

أصدرت شركة Apple تحديثًا وتوصيات أمنية بعد أن تمكنت FBI من الوصول إلى محتوى إشعارات تطبيق Signal عبر iOS، على الرغم من أن التطبيق نفسه تم حذفه.

نحن سعداء جدًا بأن شركة Apple أصدرت اليوم تصحيحًا ونشرة أمنية. يأتي ذلك بعد أن أبلغت @404mediaco أن FBI تمكن من الوصول إلى محتوى إشعارات رسائل Signal عبر iOS على الرغم من حذف التطبيق.

أكدت نصيحة Apple أن الثغرات التي سمحت بذلك…

— Signal (@signalapp) 22 أبريل 2026

قالت شركة Signal إن بعد تثبيت التحديث، ستُحذف جميع الإشعارات غير المقصودة التي تم حفظها، ولن يتم حفظ إشعارات جديدة.

في كييف، تم اعتقال عصابة جامعي الديون، الذين كانوا يبتزون العملات المشفرة باستخدام بوتات

في كييف، اعتقلت السلطات المحتالين الذين استخدموا منصات Bitcapital وCrypsee لتقديم قروض بالعملات المشفرة. تعرض المدينون وأقاربهم للمضايقة باستخدام محتوى مسيء مولد وبتات بآلاف الشرائح، وفقًا لشرطة كييف السيبرانية.

وفقًا للتحقيق، نظم أعضاء المجموعة مركز اتصال في دنيبر، وكانوا يعملون منذ 2023 تحت غطاء شركات مسجلة في المملكة المتحدة وقبرص.

كان المشغلون يتصلون بالمدينين، ويستخدمون بيانات مزيفة وبرامج لتغيير الصوت، ويطالبون برد الأموال. وإذا سدد العملاء القروض في الوقت المحدد، كان المهاجمون يختلقون ديونًا غير موجودة. ثم يبتزون ويهددون للحصول على المال.

تم استدعاء بوتات لخلق ونشر محتوى مهين باستخدام بيانات وصور الضحايا، وأقاربهم وزملائهم، وأيضًا لإجراء مكالمات هاتفية متكررة بالتهديدات.

المصدر: شرطة كييف السيبرانية. في الوقت نفسه، قد تعمل مجموعة أخرى من شخصين إلى ستة أشخاص على الضحية، باستخدام أساليب مختلفة، والتكيف مع نقاط الضعف الفردية للضحايا. وإذا نجحوا، يحصل كل منهم على نسبة من المبالغ التي تم تحويلها للضحية.

أجرت الشرطة 44 تفتيشًا في منطقة دنيبر وكييف. تم مصادرة أكثر من 80 هاتفًا محمولًا، وأجهزة كمبيوتر، ونقدًا، ومستندات، وأختام، وبتات.

وفقًا للمعلومات الأولية، تجاوزت قيمة الضرر أكثر من 5 ملايين هريفنيا ( حوالي $113 000 حسب سعر الصرف عند كتابة هذا التقرير. ويواجه المشتبه بهم عقوبة تصل إلى 12 سنة سجن.

كما ورد على ForkLog:

• قامت Tether بحظر USDT بقيمة ) مليون بناءً على طلب الولايات المتحدة.
• نفذت عمليات تفتيش في المملكة المتحدة لمكافحة تجارة العملات المشفرة غير القانونية عبر P2P.
• حذر خبراء الأمن السيبراني من موجة جديدة من هجمات قراصنة من كوريا الشمالية.
• علمت Bloomberg عن وصول غير مصرح به إلى نموذج الذكاء الاصطناعي Mythos.
• هاجم الهاكرز Volo وسرقوا 3.5 مليون دولار من تجمعات WBTC وUSDC.
• علم الصحفيون عن خطة جديدة لابتزاز البيتكوين مقابل عبور مضيق هرمز.
• أوقفت Arbitrum 30,000 ETH في إطار التحقيق في اختراق Kelp.
• استعاد Eth.limo السيطرة على النطاق بعد اختراق easyDNS.
• خسر بروتوكول Kelp مليون دولار بعد هجوم على جسر عبر السلسلة.

ماذا تقرأ في عطلة نهاية الأسبوع؟

لطالما اعتُبر استخدام الأسلحة السيبرانية للتجسس من اختصاص أجهزة الاستخبارات الضيقة. لكن تحقيقات السلطات الأمريكية حول Operation Zero كشفت عن حجم تجارة الثغرات الأمنية من نوع “صفر يوم”.

عن الأسواق السوداء للدول وتكلفة الاختراقات — في مادة جديدة من ForkLog.