مُصمم المعلومات في مستودع OpenAI المزيف، ابتزاز Mistral AI وأحداث أخرى في أمن المعلومات - ForkLog: العملات الرقمية، الذكاء الاصطناعي، التفرد، المستقبل

# إنفوستايلر في مستودع مزيف لـ OpenAI، ابتزاز Mistral AI وأحداث أخرى في مجال الأمن السيبراني

جمعنا أهم أخبار عالم الأمن السيبراني خلال الأسبوع.

• ZachXBT كشف عن هوية منظم هجمات التصيد الاحتيالي على 19 مليون دولار.
• وجهت تهم لثلاثة مشتبه بهم في سلسلة «هجمات بمفتاح ربط» في كاليفورنيا.
• مستودع مزيف لـ OpenAI كان يوزع إنفوستايلر.
• «قمامة الذكاء الاصطناعي» غمرت منصات القراصنة والمحتالين الإلكترونيين.

ZachXBT كشف عن هوية منظم هجمات التصيد الاحتيالي على 19 مليون دولار

باحث على السلسلة (On-chain) ZachXBT كشف تفاصيل التحقيق في سرقة العملات الرقمية عبر التصيد الاحتيالي بأكثر من 19 مليون دولار

1/ تعرف على دريتان كابلانى جونيور، فاعل تهديد مقيم في الولايات المتحدة مرتبط بـ $19M من سرقات الهندسة الاجتماعية التي تستهدف حاملي العملات الرقمية.

دريتان يعرض سيارات فاخرة، ساعات، طائرات خاصة، و نوادي على وسائل التواصل الاجتماعي.

مؤخراً تم تسجيله في مكالمة يظهر فيها محفظة تحتوي على أموال مسروقة. pic.twitter.com/iDKyUjUm4M

— ZachXBT (@zachxbt) 12 مايو 2026

المشتبه به الرئيسي هو هاكر أمريكي يدعى دريتان كابلانى — الابن. نقطة انطلاق تحديد هويته كانت تصرفاته غير الحذرة.

في 23 أبريل 2026، خلال مكالمة فيديو على Discord، دخل كابلانى في جدال مع أحد المستخدمين حول حجم رأس المال (band 4 band). كدليل، عرض شاشة محفظته على Exodus التي تحتوي على رصيد بقيمة 3.68 مليون دولار.

قام ZachXBT بتحليل سلسلة معاملات عنوان Ethereum. واتضح أن الأموال مرتبطة بسرقة 185 بيتكوين، حدثت في 14 مارس 2026. أظهر التحقيق أن حصة كابلانى وصلت إلى محفظته في 15 مارس — 5.3 مليون دولار. بحلول وقت مكالمة الفيديو في أبريل، كان الهاكر قد أنفق أو غسل حوالي 1.6 مليون دولار.

خلال التحقيق، اكتشف المحقق أيضًا علاقة كابلانى بحوادث سابقة. ساعد في ذلك مجرم الإنترنت جون داجيتا، الذي تم اعتقاله سابقًا لسرقة أكثر من 40 مليون دولار من الحكومة الأمريكية. كنوع من الانتقام من نزاعات سابقة، نشر في تليجرام عنوانًا قديمًا لكابلانى.

أكد ZachXBT ملكيته له: تطابق كامل في خوارزمية سحب الأموال مع تلك المستخدمة في سرقة 185 بيتكوين. كما تبين أن خلال خريف 2025، مر أكثر من 5.85 مليون دولار عبر هذا المحفظة، سرقت نتيجة خمس هجمات تصيد احتيالي.

ساعد الخبير أحد الأطراف المتضررة في التحقيق، لكنه لم ينشر استنتاجاته عمدًا قبل الإجراءات الرسمية من السلطات.

في 11 مايو 2026، تم الكشف عن مواد قضائية تتعلق بسرقة 185 بيتكوين

تم توجيه التهم بالفعل إلى:

• ترنتون جونسن — للمشاركة المباشرة في السرقة. قد يواجه حتى 40 سنة سجن؛
• مؤثر العملات الرقمية المعروف باسم yelotree — للمساعدة في غسل الأموال عبر شركة تأجير سيارات في ميامي (حتى 30 سنة سجن).

يعيش كابلانى حياة عامة وفاخرة، يعرض في وسائل التواصل طائرات خاصة وسيارات فاخرة. لطالما تمكن من تجنب الاعتقالات — يربط المحققون هذه «المرونة» بالممارسة المعتادة لتأجيل الملاحقات القضائية للقصر. وبما أن كابلانى بلغ 18 عامًا مؤخرًا، يتوقع ZachXBT أن يتم توجيه التهم إليه قريبًا.

وجهت تهم لثلاثة مشتبه بهم في سلسلة «هجمات بمفتاح ربط» في كاليفورنيا

وجهت النيابة الأمريكية اتهامات لإيليدجا أرمنسترونغ، نينو تشيندافان، وجايدن راكر بالسرقة، والاختطاف، والتآمر فيما يتعلق بسلسلة سرقات للعملات الرقمية

وفقًا لمواد القضية، انتقل المشتبه بهم من تينيسي إلى كاليفورنيا. وللوصول إلى منازل الضحايا، كانوا يتظاهرون بأنهم سعاة.

في نوفمبر 2025، في سان فرانسيسكو، هاجم «ساعي» يحمل صندوقًا المشتري عند مدخل الشقة. تم تقييده بواسطة شريط لاصق، وضربه بمقبض مسدس، وهددوه بنقل 10 ملايين دولار من البيتكوين و3 ملايين دولار من إيثيريوم.

في حادثة أخرى من هجمات «مفتاح الربط» (wrench attack)، خسر الضحية عملات بقيمة 6.5 مليون دولار.

تم اعتقال أرمنسترونغ وراكر في لوس أنجلوس في 31 ديسمبر 2025، وتشيندافان في ساننيفايل في 22 ديسمبر 2025. ويواجهون احتمال:

• حتى 20 سنة سجن لارتكابهم سرقة و محاولة اختطاف؛
• السجن مدى الحياة بتهمة التآمر للاختطاف؛
• غرامات تصل إلى 250,000 دولار لكل تهمة.

وفقًا لـ CertiK، في عام 2025، تم تسجيل 72 حالة من «هجمات بمفتاح ربط» حول العالم، بزيادة قدرها 75% عن العام السابق. وبلغت الخسائر الإجمالية من هذه الجرائم 41 مليون دولار، وهو رقم قياسي.

مستودع مزيف لـ OpenAI كان يوزع إنفوستايلر

مستودع ضار على Hugging Face كان يحاكي مشروع Privacy Filter من OpenAI لتوزيع إنفوستايلر. أفاد بذلك باحثو HiddenLayer.

منصة Hugging Face تتيح للمطورين والباحثين تبادل نماذج الذكاء الاصطناعي، مجموعات البيانات، وأدوات التعلم الآلي.

وفقًا للخبراء، استخدم المحتالون كتابة مشابهة في المستودع Open-OSS/privacy-filter، الذي يحتوي على ملف loader.py، الذي يشغل برنامجًا ضارًا لسرقة البيانات على نظام Windows.

المصدر: HiddenLayer. السكربت بايثون تضمن رمزًا مزيفًا مرتبطًا بالذكاء الاصطناعي ليبدو غير ضار. ومع ذلك، كان في الخلفية يعطل التحقق من مفاتيح SSL، ويقوم بفك ترميز عنوان URL يشير إلى مصدر خارجي، ثم يستخرج وينفذ أمر PowerShell.

الرمز الذي يُشغل في نافذة غير مرئية كان يقوم بتحميل ملف دفعي start.bat. كان يرفع الامتيازات في النظام ويقوم بتنزيل الحمولة النهائية، مضيفًا إياها إلى استثناءات Microsoft Defender. كانت عبارة عن إنفوستايلر مكتوب بلغة Rust قادر على أخذ لقطات شاشة. كانت البرامج تسرق:

• الكوكيز، كلمات المرور المحفوظة، مفاتيح التشفير، سجل التصفح في متصفحات Chromium و Gecko؛
• رموز Discord، قواعد البيانات المحلية، والمفتاح الرئيسي؛
• محافظ العملات الرقمية وإصداراتها في المتصفح؛
• بيانات الاعتماد وملفات التكوين لـ SSH، FTP، وVPN، بما في ذلك FileZilla؛
• معلومات عن النظام.

أشار الباحثون إلى أن الغالبية العظمى من 667 حسابًا أعطت إعجابًا للمستودع الضار، ويبدو أنها مولدة تلقائيًا. بالإضافة إلى ذلك، فإن عدد التنزيلات الذي بلغ 244,000 قد يكون مبالغًا فيه بشكل مصطنع.

«قمامة الذكاء الاصطناعي» غمرت منصات القراصنة والمحتالين الإلكترونيين

تزداد الشكاوى في الدارك نت حول «قمامة الذكاء الاصطناعي»، التي تتسلل إلى المناقشات، والأدلة، والمنشورات التقنية. ذكرت ذلك Wired استنادًا إلى دراسة من جامعة كامبريدج وجامعة ستراثكلايد

درس الخبراء حوالي 98,000 سلسلة على منتديات القراصنة المرتبطة بالذكاء الاصطناعي، منذ إصدار ChatGPT في 2022 وحتى نهاية 2025. خلال هذه الفترة، تغيرت النظرة إلى نماذج التوليد بشكل ملحوظ في بيئة الجريمة السيبرانية.

وفقًا للدراسة، إذا كان القراصنة سابقًا يناقشون كيف يمكن للشبكات العصبية المساعدة في كتابة برمجيات ضارة أو اكتشاف الثغرات، فإنهم الآن يشتكون بشكل متزايد من تدفق «قمامة الذكاء الاصطناعي»: منشورات غير مفيدة وأدلة بدائية حول مواضيع أساسية.

بالإضافة إلى ذلك، بعض أعضاء المنتديات غير راضين عن أن ردود أنظمة اللغة الكبيرة (LLM) في نتائج بحث Google تقلل من زيارات المواقع نفسها، مما يؤثر سلبًا على تسويق منصات القراصنة.

وفي الوقت نفسه، لم يلاحظ الباحثون تأثيرًا كبيرًا للذكاء الاصطناعي على أنشطة المحتالين المبتدئين. فهو لم يخفض حاجز الدخول للمبتدئين بعد، ولم يسبب تغييرات جذرية في صناعة الأمن السيبراني.

مجموعة هاكرز مرتبطة بروسيا البيضاء هاجمت الهيئات الحكومية الأوكرانية

في مارس 2026، تم تسجيل حملة جديدة من مجموعة الهاكرز Ghostwriter (المعروفة أيضًا باسم UNC1151 وFrostyNeighbor)، تستهدف الهيئات الحكومية والدفاعية في أوكرانيا. أفاد بذلك باحثو ESET.

يربط خبراء مجموعة Ghostwriter، المتخصصة في التجسس الإلكتروني في أوروبا الشرقية، بروسيا البيضاء

وفقًا للخبراء، كان المهاجمون يرسلون ملفات PDF تصيدية تحاكي مستندات شركة «أوكر تيليكوم». كانت الروابط الضارة في المستند تؤدي إلى تحميل برنامج PicassoLoader، الذي يطلق بعد ذلك أداة شهيرة لهجمات Cobalt Strike.

استخدم القراصنة التحقق عبر عنوان IP — حيث كان يتم تحميل الأرشيف المصاب فقط إذا كانت الضحية في أوكرانيا.

أشار الباحثون إلى «نضج عملياتي» عالي للمجموعة. يمكن لـ PicassoLoader إرسال «بصمة» النظام إلى خوادم القراصنة كل 10 دقائق. بناءً على هذه البيانات، يتخذ مشغلو Ghostwriter قرارًا بمواصلة الهجوم على هدف معين.

على عكس حملات بولندا أو ليتوانيا، حيث تختار المجموعة مجموعة واسعة من الأهداف من اللوجستيات إلى الطب، فإن نشاطها في أوكرانيا يركز حصريًا على القطاع العسكري والحكومي.

هاكرز TeamPCP يعرضون مستودعات Mistral AI للبيع

هددت مجموعة الهاكرز TeamPCP بنشر الكود المصدري لمشاريع Mistral AI على الإنترنت إذا لم يتم العثور على مشتري للبيانات المسروقة. ذكرت ذلك BleepingComputer.

Mistral AI شركة فرنسية في مجال الذكاء الاصطناعي، أسسها باحثون سابقون في Google DeepMind وMeta. تتخصص في تطوير نماذج لغة كبيرة (LLM) ذات أوزان مفتوحة وبرمجيات ملكية.

في بيان على منتدى الهاكرز، طلب المهاجمون 25,000 دولار مقابل حزمة تشمل حوالي 450 مستودعًا.

أكد ممثلو Mistral AI لـ BleepingComputer أن أنظمتهم تعرضت للاختراق. جاء الاختراق نتيجة هجمة واسعة على سلسلة التوريد البرمجية المسماة Mini Shai-Hulud.

وتؤكد Mistral AI أن البيانات المتأثرة ليست جزءًا من الكود المصدري الرئيسي.

وفقًا للمعلومات المنشورة، تطورت الهجمة على مراحل عدة. في البداية، تمكن المهاجمون من الوصول إلى حزم TanStack وMistral AI الرسمية باستخدام بيانات اعتماد سرقت من أنظمة CI/CD. ثم انتشرت الحملة الضارة إلى مئات المشاريع في مستودعات npm وPyPI، بما في ذلك مشاريع UiPath، Guardrails AI، وOpenSearch.

اعترفت Mistral AI بأن المهاجمين أدخلوا رمزًا ضارًا مؤقتًا في بعض حزم SDK الخاصة بالشركة

المصدر: BleepingComputer. تدعي مجموعة TeamPCP أنها سرقت حوالي 5 جيجابايت من البيانات الداخلية التي تستخدمها Mistral للتدريب، والتخصيص (fine-tuning)، والاختبارات المقارنة، وإجراء التجارب.

قال الهاكرز إنهم سينشرون المعلومات في العلن إذا لم يجدوا مشتريًا خلال أسبوع.

وفي ForkLog أيضًا:

• سرق المهاجمون 10 ملايين دولار من THORChain.
• تحالف Tether وTRON وTRM Labs قاموا بتجميد أصول بقيمة 450 مليون دولار.
• أطلقت مؤسسة Ethereum خدمة لحماية التوقيع الأعمى للمعاملات.
• أعلنت CertiK عن «تصنيع» سرقات العملات الرقمية من قبل كوريا الشمالية.
• تم اختراق حساب Roaring Kitty لسرقة توكن RKC.
• سجلت Google زيادة في شعبية الذكاء الاصطناعي بين المجرمين الإلكترونيين.
• اعترفت LayerZero بوجود أخطاء بعد اختراق Kelp بمبلغ 292 مليون دولار.

ماذا تقرأ في عطلة نهاية الأسبوع؟

في مادة جديدة، حلل ForkLog كيف يضمن المقاول الرئيسي للبرمجيات في وزارة الدفاع الأمريكية وPalantir Technologies «تفوق واضح للغرب».