ما هو هجوم IAM pivot؟

هو سلسلة هجمات يستغل فيها القراصنة بيانات اعتماد المطورين المسروقة للانتقال من الأجهزة المخترقة إلى التحكم الكامل في بيئة السحابة وإدارة الهوية والوصول.

كيف يتم استخدام احتيال التوظيف في هذه الهجمات؟

يُرسل المهاجمون عروض عمل وهمية عبر لينكد إن أو واتساب، ويطلبون من المطورين تثبيت حزم برمجية كجزء من الاختبار، والتي تحتوي على برمجيات خبيثة لسرقة البيانات.

لماذا لا تكتشف أنظمة أمان البريد الإلكتروني هذه الهجمات؟

لأن التواصل وتسليم البرمجيات الخبيثة يتم عبر قنوات خارجية مثل واتساب ولينكد إن، مما يتجاوز بوابات البريد الإلكتروني التقليدية للشركات بالكامل.

احتيال التوظيف: خسائر بـ 2 مليار دولار عبر ثغرات السحابة

كشفت أحدث التقارير الأمنية عن موجة خطيرة من احتيال التوظيف تستهدف المطورين عبر منصات التواصل، مما أدى لخسائر تجاوزت 2 مليار دولار وسرقة بيانات سحابية حساسة. تبدأ القصة برسالة يتلقاها المطور عبر لينكد إن من مسؤول توظيف، تبدو الوظيفة شرعية، لكن اختبار البرمجة المطلوب يتضمن تثبيت حزمة برمجية. وبمجرد التثبيت، تقوم هذه الحزمة بتسريب جميع بيانات اعتماد السحابة من جهاز المطور، بما في ذلك رموز الوصول الشخصية لـ GitHub ومفاتيح AWS API، ليصبح المهاجم داخل البيئة السحابية للشركة في غضون دقائق.

ثغرة الـ IAM وخسائر المليارات

أصبحت سلسلة الهجمات هذه تُعرف باسم "محور إدارة الهوية والوصول" (IAM pivot)، وهي تمثل فجوة جوهرية في كيفية مراقبة الشركات للهجمات القائمة على الهوية. ووثقت أبحاث CrowdStrike Intelligence كيف قامت مجموعات الخصوم بتشغيل سلسلة الهجمات هذه على نطاق صناعي.

وفي إحدى حلقات بودكاست "Adversary Universe"، وصف آدم مايرز، نائب الرئيس الأول للاستخبارات في CrowdStrike، حجم الكارثة مشيراً إلى أن أكثر من 2 مليار دولار مرتبطة بعمليات العملات المشفرة تديرها وحدة خصم واحدة. وأوضح كريستيان رودريغيز، المدير التقني الميداني في الشركة، أن النجاح في تحقيق الإيرادات دفع إلى التخصص التنظيمي، حيث انقسمت ما كانت يوماً مجموعة تهديد واحدة إلى ثلاث وحدات متميزة تستهدف العملات المشفرة، والتكنولوجيا المالية (FinTech)، والتجسس.

تجاوز أنظمة الحماية التقليدية

في أواخر عام 2024، أوصل المهاجمون حزم Python خبيثة إلى شركة تكنولوجيا مالية أوروبية من خلال طعوم التوظيف، ثم انتقلوا إلى تكوينات السحابة IAM وحولوا العملات المشفرة إلى محافظ يسيطر عليها الخصم. لم تمس العملية بوابة البريد الإلكتروني للشركة من الدخول إلى الخروج.

واتساب ولينكد إن كبوابات عبور: وثقت وكالة الأمن السيبراني وأمن البنية التحتية (CISA) وشركة JFrog حملات متداخلة عبر نظام npm البيئي، حيث حددت JFrog حوالي 796 حزمة مخترقة.
تغيير التكتيكات: لم تعد الحزم المروّضة (Trojanized) تصل عبر أخطاء الكتابة كما في الماضي، بل يتم تسليمها يدوياً عبر رسائل شخصية ومنصات اجتماعية لا تلمسها بوابات البريد الإلكتروني للشركات.

السرعة القاتلة: 8 دقائق للسيطرة الكاملة

أظهرت الأبحاث أن المهاجمين يتحركون بسرعة فائقة. وثقت شركة Sysdig سلسلة هجمات حيث وصلت بيانات الاعتماد المخترقة إلى امتيازات مسؤول السحابة في ثماني دقائق فقط، وعبرت 19 دوراً من أدوار IAM قبل الوصول لنموذج الذكاء الاصطناعي Amazon Bedrock وتعطيل تسجيل الاستدعاء.

وأكد رام فاراداراجان، الرئيس التنفيذي لشركة Acalvio، أن سرعة الاختراق تحولت من أيام إلى دقائق، مما يتطلب تكنولوجيا يمكنها الاستجابة بنفس سرعة المهاجمين الآليين.

مخاطر البنية التحتية للذكاء الاصطناعي

لا تتوقف المخاطر عند سرقة البيانات التقليدية، بل تمتد إلى البنية التحتية للذكاء الاصطناعي. أشار تقرير Google Cloud للتهديدات إلى أن بيانات الاعتماد الضعيفة أو الغائبة شكلت 47.1% من حوادث السحابة في النصف الأول من عام 2025.

"عندما يتم اختطاف هوية السحابة للمطور، يمكن للمهاجم الوصول إلى أوزان النماذج، وبيانات التدريب، ونقاط استنتاج النهاية".

وحذر إيليا زايتسيف، المدير التقني في CrowdStrike، من أن "الحقن الناجح للأوامر ضد وكيل الذكاء الاصطناعي ليس مجرد ناقل لتسريب البيانات، بل هو موطئ قدم محتمل للحركة الجانبية الآلية".

كيف تحمي مؤسستك؟

يوصي الخبراء بضرورة تدقيق مكدس مراقبة IAM الخاص بالشركات مقابل المراحل الثلاث للهجوم:

الدخول: نشر مراقبة سلوكية في وقت التشغيل على محطات عمل المطورين للكشف عن أنماط الوصول لبيانات الاعتماد أثناء تثبيت الحزم.
المحور (Pivot): نشر تقنيات كشف التهديدات والاستجابة للهوية (ITDR) التي تراقب سلوك الهوية عبر البيئات السحابية.
الهدف: تنفيذ ضوابط وصول خاصة بالذكاء الاصطناعي تربط طلبات الوصول للنموذج بملفات تعريف السلوك للهوية.

في النهاية، لم تعد المعركة تدور عند المحيط الأمني التقليدي، بل انتقلت إلى "الهوية". إذا كانت بوابات الذكاء الاصطناعي الخاصة بك تتحقق من الرموز المميزة (Tokens) ولكن ليس من أنماط الاستخدام، فإن بيانات الاعتماد المختطفة ستمر مباشرة إلى نماذجك دون عوائق.

احتيال التوظيف: خسائر بـ 2 مليار دولار عبر ثغرات السحابة

ثغرة الـ IAM وخسائر المليارات

تجاوز أنظمة الحماية التقليدية

السرعة القاتلة: 8 دقائق للسيطرة الكاملة

مخاطر البنية التحتية للذكاء الاصطناعي

كيف تحمي مؤسستك؟

الأمن السيبراني

ثغرة في صيدليات DavaIndia تكشف بيانات 17 ألف طلب

تحذير للمطورين: وظائف وهمية تزرع برمجيات خبيثة (2025)

اختراق Figure وتسريب بيانات العملاء بعد رفض الفدية

اختراق Tenga اليابانية: تسريب بيانات حساسة للعملاء

تحذير عاجل لمستخدمي ماك: برمجية خبيثة تستغل Claude

غرامة 25 مليون دولار على لويس فويتون وديور لتسريب البيانات

الأسئلة الشائعة

التعليقات 0

ثغرة الـ IAM وخسائر المليارات

تجاوز أنظمة الحماية التقليدية

وداعاً مايكروسوفت 365: بديل مجاني كامل على راسبيري باي

السعودية تطلق برنامج iBridge لتدريب الكفاءات مع AWS

سبيس إكس تخطط لتحويل الفضاء لمركز بيانات بمليون قمر صناعي

الهند تغري عمالقة التكنولوجيا بإعفاء ضريبي حتى 2047

سبيس إكس تطلب رسمياً إطلاق مليون مركز بيانات فضائي

تحذير: رسائل احتيال التخزين السحابي تهدد بحذف صورك

السرعة القاتلة: 8 دقائق للسيطرة الكاملة

مخاطر البنية التحتية للذكاء الاصطناعي

كيف تحمي مؤسستك؟

الأمن السيبراني

ثغرة في صيدليات DavaIndia تكشف بيانات 17 ألف طلب

تحذير للمطورين: وظائف وهمية تزرع برمجيات خبيثة (2025)

اختراق Figure وتسريب بيانات العملاء بعد رفض الفدية

اختراق Tenga اليابانية: تسريب بيانات حساسة للعملاء

تحذير عاجل لمستخدمي ماك: برمجية خبيثة تستغل Claude

غرامة 25 مليون دولار على لويس فويتون وديور لتسريب البيانات

شارك هذا المقال

الأسئلة الشائعة

التعليقات 0

صفحات الموقع

مركز المساعدة

سياسة الخصوصية

شروط الاستخدام

من نحن

تواصل معنا