كشف باحثو الأمن السيبراني أن جهات تهديد تستغل واجهات Java Debug Wire Protocol (JDWP) المكشوفة للحصول على قدرة تنفيذ أوامر عن بُعد، ونشر برمجيات تعدين للعملات الرقمية على الأنظمة المخترقة.
وقالت الباحثتان يارا شريكي وجيلي تيكوشينسكي من شركة Wiz في تقرير حديث:
“استخدم المهاجم نسخة معدّلة من برنامج التعدين XMRig تحتوي على إعدادات مدمجة (hard-coded)، ما يسمح بتجنّب الأوامر المشبوهة في سطر الأوامر التي عادةً ما ترصدها أنظمة الحماية.”
وأضاف التقرير أن البرمجية الخبيثة استخدمت بروكسيات لمجمعات تعدين لإخفاء عنوان محفظة العملات الرقمية، ما يصعّب على المحققين تتبع مصدر الأموال.
كيف بدأ الهجوم؟
رُصد النشاط على خوادم فخ (honeypots) تديرها Wiz، تعمل بأداة TeamCity، وهي منصة شائعة للتكامل والتسليم المستمر (CI/CD).
ويُعد JDWP بروتوكولًا يُستخدم لأغراض تصحيح الأخطاء في تطبيقات Java، ويسمح للمطورين بالتحكم في تطبيقات Java عبر عمليات منفصلة أو حتى عن بُعد. لكن في غياب آليات المصادقة أو التحكم في الوصول، يصبح تعريض JDWP للإنترنت منفذًا خطيرًا يمكن استغلاله لتنفيذ أوامر ضارة.
“رغم أن JDWP غير مفعّل افتراضيًا في معظم تطبيقات Java، إلا أنه يُستخدم بكثرة في بيئات التطوير، وغالبًا ما يُفعّل دون إدراك المطوّر للمخاطر المحتملة”، وفقًا لـWiz.
التطبيقات المعرّضة
من بين التطبيقات التي قد تُشغّل JDWP عند تفعيل وضع التصحيح:
TeamCity، Jenkins، Selenium Grid، Elasticsearch، Quarkus، Spring Boot، Apache Tomcat.
وبحسب بيانات GreyNoise، تم تسجيل أكثر من 2,600 عنوان IP تبحث عن منافذ JDWP خلال آخر 24 ساعة، منها أكثر من 1,500 عنوان IP خبيث و1,100 عنوان مشبوه، معظمها من الصين، الولايات المتحدة، ألمانيا، سنغافورة، وهونغ كونغ.
سيناريو الهجوم الكامل
استغل المهاجمون حقيقة أن JVM يستمع على المنفذ 5005 لاتصالات التصحيح، وبدأوا بمسح الإنترنت بحثًا عن منافذ JDWP المفتوحة. بمجرد العثور على واجهة نشطة، يُرسل طلب “JDWP-Handshake” للتأكد من أن الخدمة تعمل، ثم:
-
يُنفّذ أمر curl لتحميل وتشغيل سكربت shell ضار؛
-
يقوم بقتل عمليات التعدين الأخرى أو العمليات كثيفة الاستخدام للمعالج؛
-
يحمّل نسخة معدّلة من XMRig
-
يُنشئ وظائف مجدولة (cron jobs) لتأمين الاستمرارية بعد كل تسجيل دخول أو إعادة تشغيل؛
-
يحذف السكربت نفسه بعد التنفيذ.
وأكدت Wiz أن XMRig يُعد هدفًا مفضلاً للمهاجمين بسبب كونه مفتوح المصدر وسهل التعديل.
برمجية “Hpingbot”: عائلة بوت نت جديدة وقوية
تزامن هذا الكشف مع تقرير من شركة NSFOCUS الصينية حول برمجية ضارة جديدة وسريعة التطور تُدعى Hpingbot، مكتوبة بلغة Go، وتستهدف أنظمة ويندوز ولينكس لضمّها إلى شبكة بوت نت تُستخدم في شنّ هجمات حجب الخدمة الموزعة (DDoS) باستخدام أداة hping3.
بعكس العديد من التروجانات الأخرى المستمدة من عائلات شهيرة مثل Mirai وGafgyt، تُعد Hpingbot عائلة جديدة بالكامل، وتُظهر قدرات متقدمة من حيث الابتكار والتوزيع.
“منذ 17 يونيو 2025، صدرت عدة مئات من أوامر DDoS، واستهدفت الهجمات دولاً مثل ألمانيا، الولايات المتحدة، وتركيا.”
أبرز خصائص Hpingbot:
-
تعتمد على إعدادات SSH ضعيفة، وتنفذ هجمات password spraying لاختراق الأجهزة؛
-
تحتوي على تعليقات برمجية بالألمانية، ما يشير إلى أن النسخ الأخيرة لا تزال في طور الاختبار؛
-
تستخدم Pastebin كمخزن مؤقت لعناوين IP الخبيثة، لتحميل سكربت Shell يقوم بـ:
-
كشف معمارية المعالج؛
-
قتل النسخة السابقة من التروجان؛
-
تحميل الحمولة الرئيسية المسؤولة عن تنفيذ هجمات DDoS عبر TCP وUDP؛
-
تثبيت الاستمرارية ومسح سجل الأوامر لإخفاء الآثار.
-
تطور تكتيكي جديد
لاحظ الباحثون منذ 19 يونيو أن المهاجمين بدأوا باستخدام نسخة جديدة من الحمولة، مكتوبة أيضًا بـGo، لكنها لا تعتمد على Pastebin أو hping3، بل تستخدم دوال داخلية مدمجة لتنفيذ هجمات DDoS، ما يُظهر مرونة متزايدة وفعالية في التخفي.
ورغم أن النسخة الخاصة بنظام ويندوز لا تستطيع تشغيل hping3 (لأنه يُثبت عبر الأمر في لينكس)، فإن قدرتها على تنزيل وتنفيذ حمولات إضافية يشير إلى نية المهاجمين تحويل الشبكة إلى منصة توزيع برمجيات ضارة، وليس فقط شنّ هجمات تعطيل.
“نشاط النسخة الخاصة بويندوز مرتفع رغم عدم دعمها لـ hping3، مما يرجح أن التركيز لا يقتصر على هجمات DDoS، بل يشمل نشر حمولات خبيثة إضافية.”
