دودة PCPJack السحابية: سرقة بيانات اعتماد Docker وKubernetes تهدد بنوك SAMA

كشف باحثو SentinelLABS في 28 أبريل 2026 عن إطار هجومي جديد يحمل اسم PCPJack، وهو دودة سحابية متقدمة تستهدف خدمات Docker وKubernetes وRedis وMongoDB وRayML، وتنتشر ذاتياً عبر البنى التحتية السحابية لسرقة بيانات الاعتماد على نطاق واسع. هذا التهديد يمثل خطراً مباشراً على المؤسسات المالية السعودية التي تتبنى استراتيجيات التحول الرقمي والحوسبة السحابية.

ما هي دودة PCPJack وكيف تعمل؟

PCPJack ليست مجرد أداة سرقة بيانات تقليدية، بل إطار هجومي كامل يعمل بآلية الدودة (Worm) للانتشار الذاتي داخل البيئات السحابية. تستغل الدودة خمس ثغرات معروفة هي CVE-2025-55182 وCVE-2025-29927 وCVE-2026-1357 وCVE-2025-9501 وCVE-2025-48703، وتستخدم Telegram كقناة للتحكم والسيطرة (C2). ما يميز PCPJack عن غيرها هو سلوكها العدواني تجاه الإصابات المنافسة: فهي تكتشف وتزيل آثار دودة TeamPCP من الأنظمة المصابة قبل أن تحل محلها، في تنافس سيبراني مباشر بين مجموعات التهديد.

آلية الانتشار وجمع بيانات الاعتماد

تعتمد PCPJack على تحميل بيانات أسماء المضيفين من ملفات Common Crawl بصيغة Parquet، مما يتيح لها مسح ما يصل إلى 104 مليون هدف محتمل في كل دورة تشغيل دون الحاجة إلى بنية تحكم مركزية. بعد اختراق النظام، تقوم الدودة بمسح نقاط Instance Metadata Service (IMDS) وحسابات خدمة Kubernetes ومثيلات Docker للبحث عن بيانات اعتماد مرتبطة بخدمات متعددة تشمل: Digital Ocean وGrafana Cloud وHashiCorp Vault و1Password وOpenAI وDiscord وGoogle API. هذا التنوع في الأهداف يعني أن اختراقاً واحداً يمكن أن يكشف مفاتيح API وأسرار التطبيقات وبيانات الوصول لعشرات الخدمات المتصلة.

لماذا يشكل PCPJack تهديداً خاصاً للمؤسسات المالية السعودية؟

مع تسارع تبني البنوك والمؤسسات المالية السعودية لتقنيات الحوسبة السحابية وحاويات Docker وتنسيق Kubernetes ضمن مبادرات التحول الرقمي، تتوسع سطح الهجوم بشكل كبير. إطار SAMA CSCC في نطاق التحكم 3.3 (إدارة أمن السحابة) يشدد على ضرورة حماية بيانات الاعتماد السحابية وتطبيق مبدأ الصلاحيات الأدنى. كذلك يتطلب إطار NCA ECC في ضوابط إدارة الهوية والوصول (IAM) تأمين حسابات الخدمة ومفاتيح API بآليات تدوير دورية ومراقبة مستمرة. اختراق بيئة Kubernetes واحدة في بنك سعودي قد يعني الوصول إلى قواعد بيانات العملاء وأنظمة الدفع وخدمات التحويلات، مما يشكل انتهاكاً مباشراً لمتطلبات نظام حماية البيانات الشخصية PDPL.

الدافع المالي وسلاسل الاستغلال

تقييم SentinelLABS يشير إلى أن الدافع الرئيسي وراء PCPJack هو تحقيق إيرادات غير مشروعة من خلال سرقة بيانات الاعتماد وإعادة بيع الوصول المسروق في أسواق الويب المظلم، إضافة إلى الابتزاز والاحتيال. هذا النموذج التجاري يعني أن بيانات اعتماد مؤسسة مالية سعودية مخترقة قد تُباع لمجموعات فدية أو جهات تهديد متقدمة (APT) تستهدف القطاع المالي في المنطقة. سلسلة الاستغلال تبدأ بثغرة واحدة في خدمة مكشوفة، ثم تتوسع أفقياً عبر الشبكة السحابية بأكملها خلال دقائق.

التوصيات والخطوات العملية للحماية

1. تحديث فوري: تطبيق تصحيحات الثغرات الخمس التي يستغلها PCPJack (CVE-2025-55182، CVE-2025-29927، CVE-2026-1357، CVE-2025-9501، CVE-2025-48703) على جميع أنظمة الإنتاج والتطوير.
2. تدقيق بيئات الحاويات: مراجعة جميع حاويات Docker وعناقيد Kubernetes للتأكد من عدم تعرض خدمات Redis وMongoDB للإنترنت مباشرة، وتطبيق سياسات Network Policy صارمة.
3. تدوير بيانات الاعتماد: تدوير فوري لجميع مفاتيح API وأسرار حسابات الخدمة وبيانات اعتماد IMDS، مع تفعيل IMDSv2 لمنع استعلامات البيانات الوصفية غير المصرح بها.
4. مراقبة سلوكية: نشر أدوات CWPP (Cloud Workload Protection Platform) لرصد السلوكيات المشبوهة داخل الحاويات، بما في ذلك تنفيذ أوامر غير متوقعة واتصالات C2 عبر Telegram.
5. فحص مؤشرات الاختراق: البحث عن مؤشرات الاختراق (IoCs) المنشورة من SentinelLABS في سجلات الأنظمة السحابية، بما في ذلك أنماط المسح على نقاط IMDS وملفات Parquet المشبوهة.
6. تطبيق مبدأ Zero Trust: تفعيل مصادقة متعددة العوامل (MFA) على جميع واجهات إدارة السحابة، وتقييد الوصول وفق مبدأ الصلاحيات الأدنى بما يتوافق مع ضوابط SAMA CSCC ونطاق IAM في NCA ECC.

الخلاصة

دودة PCPJack تمثل نقلة نوعية في تهديدات البنى السحابية، حيث تجمع بين الانتشار الذاتي واسع النطاق وسرقة بيانات الاعتماد المتعددة الخدمات والتنافس مع مجموعات التهديد الأخرى. المؤسسات المالية السعودية التي تعتمد على Docker وKubernetes في بنيتها التحتية يجب أن تتعامل مع هذا التهديد بأولوية قصوى، خاصة مع متطلبات SAMA CSCC الصارمة حول أمن السحابة وإدارة الهوية.

هل بنيتك السحابية محمية؟ تواصل مع فريق فنترالينك لتقييم مجاني لأمن بيئات الحاويات والسحابة وفق متطلبات SAMA CSCC وNCA ECC.