المحتالون ليسوا قراصنة: تحليل 4 أنظمة خلفية، تم اختراقها جميعًا بسهولة تامة
Firebase · Supabase · Express.js · Drainer-as-a-Service · فبراير 2026

إخلاء المسؤولية: تحليل، وليس هجومًا
كل ما ورد في هذا المقال هو نتيجة لـ التحليل السلبي والبيانات المتاحة للجمهور. لم يتم اختراق أي أنظمة. ولم يتم تجاوز أي إجراءات مصادقة. في كل حالة، أدى سوء التكوين من جانب المحتالين أنفسهم إلى كشف بنيتهم التحتية وبيانات الضحايا وهوياتهم التشغيلية لأي شخص يبحث عنها ببساطة. تم العثور على كل مفتاح واجهة برمجة التطبيقات (API) في حزم جافا سكريبت العامة. وكانت كل قاعدة بيانات مفتوحة على مصراعيها وفقًا لتصميم المشغلين أنفسهم. نحن نوثق هذا ليس بهدف الهجوم — بل لإثبات أن الأشخاص الذين يسرقون عملاتك المشفرة لا يستطيعون حتى الحفاظ على أدواتهم الخاصة.
الفكرة الأساسية: «سكريبت كيدز» وأدواتهم المسروقة
هناك أسطورة راسخة في مخيلة الجمهور مفادها أن المحتالين عبر الإنترنت هم «قراصنة» — أي عباقرة تقنيون يقتحمون الأنظمة بمهارة ودقة. هذا خطأ.
المحتالون المعاصرون في مجال العملات المشفرة هم مبتدئو البرمجة الذين يستخدمون مجموعات أدوات تم شراؤها. فهم يشترون باقات «Drainer-as-a-Service» مقابل 200 إلى 500 دولار، وينشرونها على خوادم استضافة مجانية أو رخيصة، ويأملون ألا يلاحظ ضحاياهم ذلك. إنهم لا يكتبون أي أكواد برمجية. ولا يفهمون شبكات الكمبيوتر. وبالتأكيد لا يفهمون الأمور الأمنية.
ونحن نعلم ذلك لأن «PhishDestroy» قامت في فبراير 2026 بتحليل 4 عمليات احتيال مستقلة — وفي كل حالة على حدة، كان بإمكاننا:
- قراءة جميع بيانات الضحايا المسروقة (عبارات البذرة، عناوين البريد الإلكتروني، عناوين IP، أنواع المحافظ)
- تم تعديلها أو حذفها قاعدة بيانات المحتال
- تم تحديد المشغل من خلال مفاتيح واجهة برمجة التطبيقات (API) المكشوفة، وعناوين البريد الإلكتروني، وبصمات البنية التحتية
- تم إعادة تمثيل الهجوم على المحتال — مستغلين نفس الثغرات الأمنية التي تركوها مفتوحة
لا حاجة إلى استغلالات. ولا ثغرات «يوم صفر». ولا «قرصنة». فقط فتح الباب الأمامي الذي تركوه مفتوحًا.
الحالة 1: API «فانتوم» — server0002.mn19indexpre.xyz
Express.js على Apache، لا أمان حقيقي على الإطلاق
| المعلمة | القيمة |
|---|---|
| المجال | server0002.mn19indexpre.xyz |
| عنوان IP | 108.181.185.225 |
| مجموعة الخوادم | Apache/2.4.58 (Ubuntu) → Express.js (Node.js) |
| شعار SSH | SSH-2.0-OpenSSH_9.6p1 Ubuntu-3ubuntu13.11 |
| مُصدر TLS | Let's Encrypt (E7)، صالحة من يناير إلى أبريل 2026 |
| مسجل نظام أسماء النطاقات (DNS) | GoDaddy (ns39/ns40.domaincontrol.com) |
| البريد الإلكتروني (MX) | mn19indexpre-xyz.mail.protection.outlook.com |
| مستأجر مايكروسوفت | NETORGFT19090185.onmicrosoft.com |
| الموانئ المفتوحة | 22 (SSH)، 80 (HTTP→301)، 443 (HTTPS) |
"التحقق من الهوية" — مزحة
يأتي واجهة برمجة التطبيقات (API) مزودًا برمز «Bearer» مبرمجًا بشكل ثابت: thisisakeyforsecureserver. لكن إليكم النقطة الأساسية — لم يتم التحقق من صحة الرمز فعليًّا:
عدم التحقق من صحة المدخلات
تم قبول كل حمولة حقن قمنا باختبارها دون أي رد فعل:
بصمة الأداء
يستغرق وقت الاستجابة لطلبات POST حوالي 7.5 ثانية بشكل ثابت بغض النظر عن حجم الحمولة (يتم قبول أحجام تتراوح بين 10 بايت و10 ميغابايت)، مما يشير إلى إعادة توجيه البريد الإلكتروني أو ترحيل الويب هوك في الخلفية. تستغرق استجابة طلبات GET 0.6 ثانية. يتم إكمال 10 طلبات متوازية في 9.1 ثانية — ولا يتم فرض أي قيود على معدل الطلبات.
احتمال الكشف عن الهوية
معرّف مستأجر Microsoft 365 NETORGFT19090185 هو رابط مباشر إلى حساب المنظمة الذي سجل هذا النطاق. وبالاقتران مع سجلات التسجيل لدى GoDaddy وعنوان IP مخصص (ليس خلف شبكة CDN)، فإن هذا المشغل هو يمكن التعرف عليه بسهولة عبر القنوات القانونية. سجل SPF (include:secureserver.net) يؤكد أن خدمة استضافة البريد الإلكتروني من GoDaddy — يمكن الوصول إلى جميع البيانات الوصفية للبريد الإلكتروني بموجب أمر استدعاء.
الحالة 2: Firebase مفتوح على مصراعيه — web3ledgar.com
Firestore بدون أي قواعد أمان
| المعلمة | القيمة |
|---|---|
| نطاق التصيد الاحتيالي | web3ledgar.com (اسم مستوحى من "Ledger" بهدف الاستغلال) |
| نطاق بديل | web3.ledgerscore.ltd |
| مشروع Firebase | web3ledger-210ab |
| مفتاح واجهة برمجة التطبيقات (API) | AIzaSyCv8e-Gl7nK1RPpfNkJt-WjSZiaoe4AsL8 |
| معرف التطبيق | 1:1054258933515:web:9fb193fcd0093023f7fc0e |
| حزمة JS | /static/js/main.7a5ec2fa.js |
| قواعد Firestore | مفتوح تمامًا — قراءة/كتابة بدون مصادقة |
| إجمالي عدد الضحايا | 12 سجلًا في users مجموعة |
| المجموعات التي تم العثور عليها | users, transactions |
بيانات الضحايا — متاحة بالكامل لأي شخص
أعاد طلب GET واحد غير مُصادق عليه موجه إلى API REST الخاصة بـ Firestore كل عبارة بذرة مسروقة:
ومن بين السجلات الـ 12، كان هناك سجل دال — فقد سبق أن قام شخص ما باختبار النظام باستخدام fbi@fbi.gov كما هو مذكور في البريد الإلكتروني. إما أن المحتال كان يختبر نظامه الخاص (وهو أمر مفيد للتعرف عليه)، أو أن شخصًا آخر كان قد اختبره بالفعل.
مسار الهجوم
يحاكي موقع التصيد واجهة محفظة «ليدجر». ينقر الضحية على «ربط المحفظة» → يدخل عبارة البذرة → تقوم واجهة «رياكت» بالكتابة مباشرةً إلى «فايرستور» → ويقوم المحتال بقراءة البيانات من نفس قاعدة البيانات المفتوحة. لا يوجد أي خادم خلفي على الإطلاق. تعمل العملية برمتها في إطار الخدمة المجانية التي تقدمها Google.
احتمال الكشف عن الهوية
معرّف مشروع Firebase web3ledger-210ab ومعرف التطبيق 1:1054258933515 هي مرتبط بحساب Google. تحتفظ «جوجل» بسجلات الفوترة وسجلات عناوين IP وبيانات إنشاء الحسابات لجميع مشاريع «فايربيز». ويكفي طلب واحد من سلطات إنفاذ القانون إلى «جوجل» للكشف عن هوية المشغل. علاوة على ذلك، فإن كون قواعد «فايرستور» مفتوحة على مصراعيها يعني كان بإمكاننا إدخال السجلات في قاعدة بياناتهم، أو أبلغ الضحايا في الوقت الفعلي، أو قام بمسح المجموعة بأكملها.
الحالة 3: CRUD الكامل في Supabase — web3safe-pal.com
الأمان على مستوى الصف معطل، و GraphQL مفتوح تمامًا
| المعلمة | القيمة |
|---|---|
| نطاق التصيد الاحتيالي | web3safe-pal.com (اسم مزيف مستوحى من "SafePal") |
| مشروع Supabase | gzqsadraigchwdhblavp |
| مفتاح Anon | نُشر في /assets/index-b025f4a6.js (748 كيلوبايت) |
| جدول قاعدة البيانات | seeds — القراءة، الإدراج، التحديث، الحذف |
| GraphQL | تم تمكين الاستبطان الكامل + الطفرات |
| وظائف الحافة | send-wallet-import-email, send-email |
| خدمة البريد الإلكتروني | واجهة برمجة التطبيقات لإعادة الإرسال (RESEND_API_KEY في متغيرات البيئة) |
| سجلات الضحايا | الأرقام 130–131 (تم حذف الرقم 129 سابقًا) |
| لغة واجهة المستخدم | الروسية ("المحفظة الرئيسية"، "جاري تحميل محفظتك...") |
الوصول الكامل إلى قاعدة البيانات — القراءة والكتابة والحذف
يمنح مفتاح «anon» الخاص بـ Supabase، الموجود في حزمة جافا سكريبت المُصغَّرة، وصول كامل إلى وظائف CRUD إلى seeds جدول:
تبدأ أرقام التعريف من 130 — أي أن السجلات من 1 إلى 129 قد حُذفت سابقًا من قِبل المشغل. وقد مرت عبر هذا النظام 131 عبارة بذرة على الأقل.
وظائف Edge: سجل رسائل البريد الإلكتروني
هناك وظيفتان من وظائف Supabase Edge قيد التشغيل. وقد قمنا بعملية الهندسة العكسية لـ send-email تنسيق الإدخال المتوقع للدالة من خلال اختبار الحمولات:
إعادة إرسال مفتاح API (RESEND_API_KEY) يتم تخزينها في متغيرات بيئة Supabase. وتحتفظ «Resend» بسجلات التحقق من هوية المرسل وبيانات الفوترة — طريق مباشر آخر لمعرفة هوية المشغل.
احتمال الكشف عن الهوية
يشير الترجمة الروسية لواجهة المستخدم ("المحفظة الرئيسية"، "جاري تحميل محفظتك...") إلى مشغل يتحدث الروسية. مشروع Supabase (gzqsadraigchwdhblavp) مرتبط بحساب يحتوي على سجلات الفوترة. وتحتوي خدمة «إعادة إرسال البريد الإلكتروني» على عنوان البريد الإلكتروني للمستلم. ويكشف التحليل الذاتي لـ GraphQL عن مخطط قاعدة البيانات الكامل. وقد أثبتنا إمكانية الوصول الكامل للكتابة — كان بإمكاننا استبدال كل عبارة بذرة مسروقة برسالة تحذيرية موجهة إلى الضحايا، أو حذف الجدول بأكمله. ولن يكون لدى المشغل أي وسيلة لاستعادة البيانات.
الحالة 4: جهاز تصريف على نطاق صناعي — aipolypredictor.xyz
19,000 عبارة بذرة في 5.8 أيام
| المعلمة | القيمة |
|---|---|
| مجال الواجهة الأمامية | aipolypredictor.xyz ("PolySniper | رهانات المطلعين على الصدارة") |
| واجهة برمجة التطبيقات C2 API | api.yfhikblkhghdyteiuyf54.run |
| عناوين IP من الفئة C2 | 172.67.168.147, 104.21.26.231 (Cloudflare) |
| الخلفية | Express.js (Node.js) الإصدار 1.0.0 |
| مسجل (الواجهة الأمامية) | شركة «NiceNIC International Group» |
| مسجل (C2) | شركة PDR المحدودة (PublicDomainRegistry.com) |
| وقت التشغيل | حوالي 139 ساعة (بدأت في حوالي 10 فبراير 2026 الساعة 21:00 بالتوقيت العالمي المنسق) |
| مجموعة أدوات التصريف CDN | renderer-postcard.defex.cc (601 كيلوبايت من جافا سكريبت المشفرة) |
| روبوت Telegram | نشط، ومتكامل مع نظام الإشعارات |
| حد السرعة | 10 طلبات/60 ثانية (الحد الوحيد الذي تم العثور عليه) |
المقياس الذي تكشفه المعرّفات التسلسلية
الخطأ الأكثر فداحة: معرّفات المهام المتسلسلة. يُرجع كل إرسال لعبارة البذور معرّفًا متزايدًا، مما يتيح لأي شخص حساب الحجم الإجمالي:
البنية متعددة السلاسل
يقوم خادم C2 باستخلاص المفاتيح عبر جميع السلاسل الرئيسية باستخدام مسارات استخلاص بعمق 100:
البنية التحتية للحملة الانتخابية
11 نطاقًا مؤكدًا موزعة على مجموعتين من المشغلين، تم تتبعها عبر معرّفات الحزم (Bundle IDs):
| معرّف الحزمة | النطاقات | الحالة |
|---|---|---|
88ef78f5... | aipolypredictor.xyz | بث مباشر |
4446ea5d... | solana.onspace.app، solxjup.onspace.app | بث مباشر |
| مجموعة defex.cc | jup-v2.com، events-charizard.fun، events-llquid.fun، events-blackswan.fun، soljup.onspace.build | مختلط |
تحليل الحمولة في جافا سكريبت
تعمل ثلاث حمولات جافا سكريبت مُشوشة على تزويد برنامج الاستنزاف بالبيانات:
- wallet-connect.js (46 كيلوبايت) — يتولى إدارة واجهة المستخدم الخاصة باتصال المحفظة، ويعترض إدخال البذرة. إخفاء التناوب في مصفوفة السلاسل.
- wallet-specific-modals.js (134 كيلوبايت) — يحتوي على قائمة الكلمات الإنجليزية الكاملة لـ BIP39 و قائمة كلمات مونيرو (1,626 كلمة). منع التصحيح عبر تجاوزات console.log/trace. دعم النوافذ المنبثقة للمحافظ المتعددة.
- defex.cc/index.js (601 كيلوبايت) — تم تشويش الكود باستخدام Unicode مع أسماء متغيرات باللغة الصينية. منطق «drainer» خاص بـ Solana. مشفر Base58، وعناصر أساسية لاشتقاق مفاتيح التشفير. الإصدار 3.0.0.
احتمال الكشف عن الهوية
الـ CORS: * العنوان وغياب وسائل المصادقة يمكن لأي شخص تقديم الطلبات ومتابعة التغيرات في معرّف المهمة في الوقت الفعلي. ويعني دمج روبوت Telegram أن حساب المشغل على Telegram يتلقى الإشعارات — ويمكن استدعاء البيانات الوصفية لTelegram بموجب أمر قضائي. NiceNIC (مسجل النطاق للواجهة الأمامية) هو مسجل نطاق معروف بمقاومته للتتبع، وقد قمنا تم التحقيق فيه سابقًا، لكن شركة PDR Ltd. (مسجل نطاقات C2) تستجيب بالفعل لطلبات أجهزة إنفاذ القانون. الـ defex.cc تخدم مجموعة أدوات «drainer» أكثر من 255 نطاقًا — ومن شأن اختراق موقع defex.cc أن يكشف عن عملية DaaS بأكملها وجميع عملائها.
جنبًا إلى جنب: 4 عمليات، نفس النمط
| النظام المتري | mn19indexpre Express.js | web3ledgar Firebase | web3safe-pal Supabase | aipolypredictor مصرف المياه C2 |
|---|---|---|---|---|
| المصادقة | لا شيء (تم تجاهل الرمز) | لا شيء | مفتاح Anon في JS | لا شيء (CORS: *) |
| البيانات قابلة للقراءة | الرسائل/الترحيل | جميع عبارات البذور | جميع عبارات البذور | معرّفات الوظائف / جدول الرواتب |
| بيانات قابلة للكتابة | نعم (بلا حدود) | نعم | نعم (CRUD كامل) | نعم (إرسال) |
| التحقق من صحة المدخلات | صفر | صفر | صفر | الحد الأدنى |
| تحديد معدل الاستخدام | لا شيء | لا شيء | لا شيء | 10 طلبات/60 ثانية |
| يمكن الكشف عن هويته | مستأجر MS365 | حساب Google | إعادة الإرسال + الفوترة في Supabase | PDR + Telegram |
| العدد التقديري للضحايا | غير معروف | 12 | 131+ | 19,000+ |
| لغة المشغل | غير معروف | الإنجليزية | الروسية | غير معروف |
لماذا لا يُعتبر المحتالون قراصنة
الأدلة دامغة. ففي جميع العمليات الأربع، نلاحظ نفس النمط:
- شراء مجموعات مصافي جاهزة (200–500 دولار)
- النشر على المستويات المجانية (Firebase، Supabase)
- اترك الإعدادات الافتراضية دون تغيير
- استخدم رموزًا مبرمجة بشكل ثابت لا يتم التحقق منها
- لا تقم أبدًا بتمكين RLS، ولا تقم أبدًا بتقييد CORS
- الكشف عن هوياتهم في البيانات الوصفية
- استخدم أرقام تعريف متسلسلة تعكس حجمها
- كتابة أدوات مخصصة لتسريب البيانات
- استخدم قنوات مشفرة ومصادق عليها
- توزيع المعرّفات عشوائيًا، وتناوب البنية التحتية
- تطبيق نظام مناسب للتحكم في الوصول
- استخدام شبكة تور/سلاسل البروكسي، والمدفوعات المجهولة
- الفصل بين الهوية التشغيلية والاستضافة
- تطبيق تقنيات مضادة للتحليل الجنائي
العميل النموذجي لخدمة «Drainer-as-a-Service» هو مهندس اجتماعي يحمل بطاقة ائتمان، وليسوا فنيين. فهم يعرفون كيفية تسجيل نطاق وإدراج كود في لوحة التحكم الخاصة بالاستضافة. لكنهم لا يعرفون كيفية:
- تكوين قواعد أمان Firestore (يستغرق الأمر دقيقتين)
- تمكين ميزة «الأمان على مستوى الصف» في Supabase (سيستغرق الأمر 5 دقائق)
- التحقق من صحة البيانات المدخلة وتنقيحها (سيستغرق ذلك 30 دقيقة)
- استخدم معرّفات UUID بدلاً من الأعداد الصحيحة المتسلسلة (سيتطلب ذلك سطرًا واحدًا من التعليمات البرمجية)
- تقييد CORS على نطاقاتهم الخاصة (سيتطلب ذلك سطرًا واحدًا في ملف التكوين)
هؤلاء ليسوا خصوماً متطورين. هؤلاء هم الأشخاص الذين لا يستطيعون تهيئة قاعدة بيانات.
مؤشرات الاختراق (IOCs)
النطاقات
عناوين IP
مفاتيح واجهة برمجة التطبيقات (API) ومعرّفات المشاريع
الخلاصة: «الإمبراطور عارٍ»
النقطة الأساسية
كل عملية احتيال قمنا بتحليلها يمكن أن تكون تم اختراقها بالكامل، وكشف هويات مستخدميها، وتعطيلها باستخدام مجرد متصفح ويب وبرنامج «curl» والوثائق المتاحة للجمهور. وفي كل حالة من هذه الحالات، ترك المهاجمون قواعد بياناتهم مفتوحة على مصراعيها، ومفاتيح API الخاصة بهم في ملفات جافا سكريبت عامة، وهوياتهم في البيانات الوصفية، وبيانات ضحاياهم متاحة لأي شخص يكلف نفسه عناء البحث عنها.
الدرس بسيط: المحتالون ليسوا قراصنة. إنهم لصوص متاجر اشتروا مجموعة أدوات فتح الأقفال من موقع «AliExpress» ونسوا إغلاق باب منزلهم الأمامي. والأدوات التي يستخدمونها متطورة — لأن شخصًا آخر هو من صنعها. أما القائمون على هذه العمليات فهم هواة يعرضون بشكل مؤكد بنيتهم التحتية وبيانات ضحاياهم وهوياتهم الخاصة لأي شخص يمتلك معرفة تقنية أساسية.
إذا كنت قد أدخلت عبارة البذرة الخاصة بك على أي من هذه المواقع — فافترض أن محفظتك قد تعرضت للاختراق وقم بتحويل أموالك على الفور.
تم إبلاغ جميع النتائج إلى مقدمي الخدمات المعنيين (Google/Firebase، Supabase، Cloudflare، مسجلي النطاقات) وتوثيقها لتقديمها إلى سلطات إنفاذ القانون. وقد أُضيفت مؤشرات التورط (IOCs) المذكورة أعلاه إلى PhishDestroy قائمة الإتلاف.


