(حقوق الصورة: Pixabay)
- تمت تسمية أول هجوم فدية وكيل باسم JADEPUFFER من قبل الباحثين في Sysdig
- استغلت التهديد ثغرة معروفة، وتكيفت مع العقبات، واستهدفت خدمة Alibaba Nacos
- للأسف للضحايا، فإن الدفع لا يعني شيئاً، حيث إن JADEPUFFER تفشل في دعم البيانات
هل أصبحت الفدية واعية ذاتياً؟ قام باحثو Sysdig بتحليل هجوم على مثيل Langflow المتصل بالإنترنت، واكتشفوا ما يعتقدون أنه أول إصابة برمز الفدية يقودها الذكاء الاصطناعي وليس بشرياً.
مع تقدم الهجوم عبر ثغرة، وصلت إلى خادم، وأزالت البيانات، وتجاوزت التحديات، وتواصلت إلى المنزل بانتظام – كل ذلك لم يكن تحت السيطرة من قبل مشغل بعيد، بل من قبل نموذج لغة كبير (LLM).
تحت اسم “JADEPUFFER” يبدو أن الهجوم يشير إلى اتجاه السفر للجريمة الإلكترونية القائمة على الابتزاز – إذا لم يكن للقطاع بأكمله، فبالتأكيد لسوق الجريمة الإلكترونية كخدمة (CaaS). كما تم تسليط الضوء في استنتاج Sysdig: “إنه علامة على الاتجاه الذي يتجه إليه حرفة الابتزاز.”
اختراق ذاتي بالكامل
باستخدام هجوم حقن الشيفرات على نشر Langflow، أفادت Sysdig أن الهجوم كان مؤتمتاً بالكامل، وبعد استغلال الثغرة (CVE-2025-3248) بحثت JADEPUFFER عن بيانات اعتماد لمقدمي LLM، ومنصات البيانات السحابية، ومحافظ العملات الرقمية.
كما قامت بجمع البيانات من قاعدة بيانات Postgres لمثيل Langflow، وارتكبت مجموعة متنوعة من أعمال التدمير قبل الوصول إلى خدمة Nacos الخاصة بـ Alibaba (خدمة التسمية والتكوين) وقاعدة بيانات MySQL المتصلة.
في هذه المرحلة، صدرت مطالبة الفدية، حيث تم تشفير 1,342 عنصر تكوين من Nacos وتم إسقاط جداول قاعدة البيانات الحيوية. وما هو مثير للاهتمام في هذا هو أنه تم تطبيق تشفير عشوائي، لكن لم يتم صنع نسخة احتياطية ولم يتم إنشاء مفتاح أو تقرير – لذلك حتى لو تم دفع الفدية، ستبقى البيانات غير قابلة للاسترداد.
(قامت Langflow بإصلاح الثغرة في أبريل 2025، لذا كان يمكن تجنب هذا الهجوم إذا تم تصحيح المثيل. ومن المثير للسخرية، أن Langflow هي أيضاً منصة للذكاء الاصطناعي، توفر حلول منخفضة التعليمات البرمجية لبناء ونشر الدردشات، والوكلاء، وسير العمل المتقدم باستخدام الذكاء الاصطناعي.)
مرحلة جديدة في الأمن السيبراني
كان باحثو الأمن يراقبون وكلاء التهديدات الوكيلة (ATAs) منذ فترة، لذا فإن ظهور JADEPUFFER ليس غير متوقع تماماً. إن ظهوره يعني أساسًا أن أي شخص يمكنه إنشاء وتشغيل عملية فدية (أو تهديد إلكتروني آخر)، بالاعتماد على المطالبات الذكية والاختبار المؤتمت بالكامل بجهد منخفض في البرية، التي يمكن أن يتعلم منها LLM ويحسن.
إذا كان هذا يمثل بالفعل فجر عصر جديد من الأمن السيبراني، فإنه ليس كل الأخبار سيئة. لقد أثبتت هذه الحادثة كيف يمكن اكتشاف الهجمات المعتمدة على LLM.
لقد استخدمت ثغرات تاريخية، على سبيل المثال، لكن الشيء الأكثر إثارة للاهتمام هو أن هذا المحاولة كانت مطولة نوعا ما. لاحظ فريق Sysdig أنه عندما تم تقديم JADEPUFFER بعقبات أمام هدفه الأساسي، تكيّف وشارك تفسيره.
بينما هذه الرواية شائعة بين LLMs، فإن التهديدات الأخرى لا تفعل ذلك، مما يوفر ميزة لاكتشاف التهديدات المعتمدة على LLM مثل JADEPUFFER والمتغيرات التي ستظهر حتماً.
تابع TechRadar على أخبار جوجل و أضفنا كمصدر مفضل للحصول على أخبارنا الخبيرة، والمراجعات، والآراء في خلاصتك.
