إليك ترجمة المنشور إلى الدارجة المغربية (Darija) مع الحفاظ على البنية الأصلية:
ThreatsDay Bulletin: $290M DeFi Hack, macOS LotL Abuse, ProxySmart SIM Farms +25 New Stories
إليك ترجمة المنشور إلى الدارجة المغربية (Darija) مع الحفاظ على البنية الأصلية:
نشرة ThreatsDay: اختراق DeFi بـ 290 مليون دولار، استغلال LotL في macOS، وتصنيع "مزارع الـ SIM"
TL;DR: هكرز تابعين لكوريا الشمالية استهدفوا بنية DeFi التحتية وداو 290 مليون دولار، باحثين كشفوا تقنيات "Living-off-the-Land" في macOS، ومنصة "SIM Farm-as-a-Service" فـ بيلاروسيا كatغذي الجريمة الإلكترونية فالعالم كامل.
المشهد ديال الأمن السيبراني حالياً كيبان بحال حلقة كcurrent ديال الأخطاء اللي كيتعاودو. من مشاكل سلاسل التوريد (supply chains) لـ packages بلا فحص، وصولاً لأدوات الذكاء الاصطناعي اللي كتيق فـ inputs خبيثة، المهاجمين لقاو بلي تهرس الأنظمة اللي مورا التطبيقات أسهل بزاف من تهرس التطبيقات براسها. النشرة ديال هاد السيمانة كتركز على أن الـ exploits واخا يقدروا يكونوا بساط، ولكن الحجم والأتمتة (automation) ديالهم وصلوا لمستويات خطيرة.
سرقة كريبتو مدعومة من طرف دولة: ضرب KelpDAO بـ 290 مليون دولار
مجال التمويل اللامركزي (DeFi) تضرب ضربة قاصحة خرى. KelpDAO تعرضات لهجوم متطور نتج عليه سرقة 290 مليون دولار. التحليلات ديال LayerZero و Chainalysis كتشير بلي هكرز من كوريا الشمالية، وبالضبط المجموعة المعروفة بـ TraderTraitor، هوما اللي غالباً ورا هاد الاختراق.
على عكس ثغرات الـ smart contracts العادية، هاد الهجوم استهدف البنية التحتية اللي خارج الـ chain (off-chain). المهاجمين اخترقوا الـ nodes ديال Remote Procedure Call (RPC) الداخلية باش يصيفطوا بيانات غارطة لشبكة التحقق. هاد "التسميم" (poisoning) ديال البنية التحتية خدع الـ contract ديال Ethereum وخلاه يطلق الفلوس بناءً على حرق وهمي لـ tokens (phantom token burn). لحد الساعة، مجلس أمن Arbitrum جمد كثر من 30,000 ETH عندها علاقة بهاد الهجوم.
استغلال "Living-off-the-Land" (LotL) فـ macOS
كشفت أبحاث جديدة من Cisco Talos أن المهاجمين كيتجاوزوا ضوابط الأمان فـ macOS باستعمال ميزات أصلية فـ النظام. تم تحديد جوج طرق رئيسية:
- Remote Application Scripting (RAS): المهاجمين كيخدموا بـ protocol ديال
eppc://باش يديروا scripting لـ Finder عن بُعد. - إساءة استخدام Spotlight Metadata: المهاجمين كيخبيوا payloads مشفرة بـ Base64 وسط الـ "Finder comments". حيت هاد التعليقات كتخزن فـ Spotlight metadata—وهي بلاصة قليل فين كتقلبها حلول الـ EDR القياسية—الـ code الخبيث كيقدر يبقى فـ disk بلا ما يعيق به حد.
باستعمال protocols مدمجين بحال SMB و Git و Netcat، المهاجمين كيقدرو يحافظوا على التواجد ديالهم بلا ما يبانوا فـ telemetry العادية ديال SSH.
موجة malware فـ سلاسل التوريد (Supply Chain)
باقي الـ registry ديال npm هو الوسيلة الرئيسية لهجمات سلاسل التوريد. تم اكتشاف بزاف ديال الـ packages الخبيثة الجديدة (بما فيها ixpresso-core و @genoma-ui/components). هاد الـ packages مصممين باش:
- يسرقوا بيانات حساسة من الجهاز (host data).
- يزرعوا SSH backdoors فـ
~/.ssh/authorized_keys. - ينشروا الـ RAT اللي سميتو XWorm.
- ينتشروا بوحدهم باستعمال الـ tokens ديال npm ديال الضحية.
من جهة أخرى، حملة StealTok عرفات كثر من 130,000 مستخدم تيليشارشاو extensions خبيثة لـ Chrome و Edge كيتخباو مورا شكل "TikTok video downloaders" ولكن هما فالحقيقة كيجمعوا البيانات فالمخبأ.
صعود مزارع الـ SIM الصناعية: ProxySmart
منصة فـ بيلاروسيا سميتها ProxySmart خدامة كـ "SIM Farm-as-a-Service"، وكدعم الجريمة الإلكترونية على نطاق واسع. الباحثين لقاو 87 لوحة تحكم (control panels) فـ 17 دولة، مفرقين على 94 موقع فيزيائي لمزارع الهواتف.
هاد المزارع كيخدموا بـ تليفونات Android حقيقية ولا موديمات 5G باش يديروا الـ smishing، واعتراض الـ OTP، والاحتيال على المكالمات والرسائل بالتعريفة الزائدة (premium-rate fraud). واخا ProxySmart كتدعي أنها منصة قانونية لـ "data-path proxy management"، التحليل التقني كيبين بلي عندها قدرات ديال التخفي وتزوير الـ network fingerprints.
ثغرات الـ AI والـ Prompt Injection
شركة Forcepoint حذرات من 10 ديال الـ payloads جداد ديال Indirect Prompt Injection (IPI) اللي كيستهدفوا الـ AI agents. المهاجمين "كيسمموا" محتوى الويب بـ instructions مخبيين. ملي الـ AI agent كايـ "ingest" الصفحة، مكيقدرش يفرق بين الأوامر الموثوقة والأوامر الخبيثة، شي اللي يقدر يؤدي للاحتيال مالي ولا سرقة الـ API keys.
فأخبار الـ AI دائماً، شركة Clarifai أكدات مؤخراً بلي مسحات 3 مليون تصويرة ديال البروفايلات اللي كانت خداتها بلا إذن (scraped) من OkCupid، وهادشي جا مورا تسوية مع الـ FTC، مما كيبين المشاكل المستمرة ديال الخصوصية فداتا التدريب ديال الـ AI.
تهديدات وأخبار أخرى باختصار
- ثغرات مستغلة حالياً: حذرات VulnCheck من استغلال актив لثغرة RCE فـ MajorDoMo (أتمتة المنازل الذكية) وتجاوز للمصادقة (authentication bypass) فـ Routers ديال NETGEAR DGN2200.
- تخريب البنية التحتية: إيران كدعات بلي أجهزة الشبكات اللي صنع ميريكان (Cisco, Juniper) فيها firmware backdoors تخدموا باش يطفيو الـ hardware فـ صراعات أخيرة، حتى بلا أنترنت.
- صراع عصابات الـ Ransomware: مجموعة Krybit اخترقات الموقع ديال تسريبات المنافس ديالها 0APT مورا ما هدداتهم 0APT بنشر هويتهم (doxing).
- SilentGlass: المركز الوطني للأمن السيبراني فـ بريطانيا (NCSC) كشف على "SilentGlass"، وهو hardware كيتحط بين الـ HDMI و DisplayPort باش يحمي من التدخلات الخبيثة.
خلاصة
المواضيع ديال هاد السيمانة واضحة: المهاجمين كيستغلوا أخطاء "بسيطة"—servers ما محينينش، code بلا فحص، وسياسات ثقة افتراضية—باش يوصلوا لنتائج كارثية. سواء كانوا مجموعات مدعومة من دول كيستهدفوا DeFi ولا "مزارع SIM" كيديروا الاحتيال، أحسن دفاع كيبقا هو "الوقاية الأساسية": patch بكري، حدد الصلاحيات، وتحقق من أي input.