مواقع خبيثة تحاكي أدوات Ghidra وdnSpy لتفخيخ أجهزة المطورين
فريق جلتشمنذ ساعة0 مشاهدة5 دقائق
حملة خبيثة تزيف مواقع أدوات مفتوحة المصدر وتتصدر نتائج بحث Google عبر أنظمة TDS. تهدف الحملة لسرقة بيانات المطورين وتوزيع برمجيات الفدية والترصد المعقدة.
مقدمة تحليلية
كشف باحثو الأمن السيبراني في شركة Check Point عن عملية خبيثة واسعة النطاق تعتمد على تقنيات الهندسة الاجتماعية المتقدمة وتسميم محركات البحث SEO Poisoning لاستدراج المطورين ومحللي النظم. تستهدف هذه الحملة، المستمرة بنشاط منذ سبتمبر 2025 والتي تم رصد تحولها الدراماتيكي في يناير 2026، مستخدمي الأدوات مفتوحة المصدر والبرمجيات الحرة الشهيرة مثل Ghidra وdnSpy وSpiderFoot. يقوم المهاجمون بإنشاء مواقع ويب مزيفة مصممة بدقة متناهية تحاكي البوابات الرسمية لهذه المشاريع، بهدف تمرير برمجيات خبيثة متطورة عبر أنظمة توزيع حركة المرور الرقمية المعروفة باسم TDS (Traffic Distribution System). وفقًا للتحليل الأمني الذي نشره الباحث Alexey Bukhteyev، فإن خطورة هذه الحملة لا تكمن في محتوى الصفحات المزيفة بحد ذاته، بل في آلية التفاعل الخفي التي تحدث بمجرد نقر المستخدم على زر التحميل. بدلاً من الحصول على الأداة البرمجية المطلوبة، يتم توجيه حركة المرور عبر طبقات تصفية معقدة مُستضافة على شبكات توصيل المحتوى CloudFront، مما يسمح للمهاجمين بفرز الضحايا بدقة وتوصيل حمولات ضارة مخصصة مثل Remus Stealer وAnimateClipper وعائلة برمجيات التحميل الغامضة SessionGate. توضح هذه الهجمات تحولاً استراتيجيًا في سلوك المجموعات التخريبية التي باتت تستهدف فئة التقنيين والمطورين على وجه الخصوص. هؤلاء المستخدمون يمتلكون عادةً صلاحيات وصول مرتفعة داخل شبكات المؤسسات، مما يجعل اختراق أجهزتهم نقطة انطلاق مثالية لتنفيذ هجمات الفدية Ransomware واختراق شبكات الشركات الكبرى والوصول إلى الشيفرات المصدرية الحساسة.التحليل التقني
تبدأ السلسلة الهجومية عندما يقوم المستخدم بالبحث عن إحدى الأدوات الأمنية أو التحليلية على محرك البحث Google، حيث تنجح المواقع المزيفة في تصدر النتائج الأولى متفوقة على المستودعات الرسمية على GitHub. عند دخول الضحية إلى الموقع الإجرامي والنقر على زر التحميل 'Download'، يتم تفعيل سيناريو برمجيات خبيثة متعدد المراحل:- طبقة جافا سكريبت المضيفة على CloudFront: تقوم هذه الطبقة باعتراض نقرة المستخدم وتحويل الطلب فورًا إلى نظام توزيع حركة المرور TDS لمنع المراقبة الآلية.
- تصفية وفلترة صارمة (Gating): يفرض نظام TDS شروطًا قاسية للتحقق من هوية المتصفح تشمل فحص حالة الزيارة الأولى (First-Visit State)، وفرض تأكيد النقر اليدوي (Click Confirmation)، واكتشاف محركات التحليل الآلي (Anti-Bot Logic)، وتصفية عناوين IP التابعة لمراكز البيانات والشبكات الافتراضية الخاصة VPN، وتحديد سقف التكرار للحد من عمليات الفحص المتكررة من نفس المصدر.
- تزييف سلوك الأزرار: عند تمرير مؤشر الفأرة فوق زر التحميل، يظهر للمستخدم رابط مشروع GitHub الحقيقي لإعطائه شعورًا زائفًا بالأمان، ولكن عند النقر الفعلي، يتم تحويل مسار الطلب بالكامل خلف الكواليس.
- التراجع الذكي: إذا اكتشف النظام محاولة تحليل أو زيارة متكررة من نفس عنوان IP، يقوم بتحميل برمجيات سليمة تمامًا مثل متصفح Opera أو إضافات متصفح غير ضارة لتجنب إثارة الشكوك لدى الباحثين الأمنيين.
- SessionGate Framework: وهو برنامج تحميل (Loader) غامض ومتعدد المراحل، خضع لعمليات تعمية وتشفير معقدة. يتم استخدامه لتثبيت تطبيقات غير مرغوب فيها PUA مع دمج آليات متطورة لمكافحة بيئات الفحص الافتراضية Sandboxes عن طريق تحويل السلوك الظاهري إلى تجربة تثبيت طبيعية بالكامل لتضليل المحللين. وقد سجلت منصة VirusTotal ما بين 2000 إلى 3500 عينة تنتمي لهذه العائلة، تتركز غالبيتها في دول مثل تركيا، بولندا، البرازيل، ألمانيا، فرنسا، وروسيا، والمملكة المتحدة.
- Remus Stealer: سلالة جديدة من برمجيات سرقة المعلومات تُباع كخدمة (MaaS)، ويُعتقد أنها تطور مباشر لبرمجية Lumma Stealer الشهيرة. تتميز بقدرتها على سرقة البيانات الحساسة من أكثر من 20 متصفحًا ومئات من إضافات المحافظ الرقمية للعملات المشفرة، وأدوات المصادقة الثنائية 2FA، ومديري كلمات المرور.
- AnimateClipper: برمجية خبيثة متخصصة في مراقبة الحافظة وتغيير عناوين محافظ العملات المشفرة المنسوخة لاستبدالها بمحافظ المهاجمين، وتدعم هذه الأداة التخريبية أكثر من 20 شبكة بلوكشين مختلفة، ويتم تسليمها للضحايا عبر أسلوب الخداع البصري المعروف بـ ClickFix.
السياق وتأثير السوق
لم تكن هذه الحملة وليدة اللحظة؛ إذ تعود جذورها الفنية إلى سبتمبر 2025 عندما بدأت الجهات الفاعلة في بناء وتنمية المواقع المزيفة بغرض حصد تقييمات SEO مرتفعة. وفي نوفمبر 2025، وثّقت شركة Fullstory المتخصصة في تحليل تجربة المستخدم النشاط الأولي للحملة، مشيرة إلى أن النطاقات المستغلة كانت مخصصة فقط لإنتاج محتوى مزيف لجلب الزوار وتحقيق أرباح عبر الإعلانات الرمادية والموجّهة لطرف ثالث، دون وجود مؤشرات واضحة على توزيع برمجيات ضارة في تلك المرحلة. ومع مطلع يناير 2026، قرر مشغلو البنية التحتية الانتقال إلى مرحلة تسييل حركة المرور عبر بيع قنوات التوجيه لموزعي البرمجيات الضارة. هذا التحول يسلط الضوء على نموذج عمل متطور يُعرف باسم 'تسييل حركة المرور عبر الوساطة'، حيث لا يحتاج مطورو البرمجيات الخبيثة لبناء بنية تحتية للتوزيع من الصفر، بل يشترون الوصول إلى تدفقات حركة المرور المُفلترة مسبقًا من شبكات TDS الاحترافية. إن تصدر هذه المواقع المزيفة لنتائج بحث Google على حساب المواقع الرسمية ومستودعات GitHub الحقيقية يضع محركات البحث الكبرى في موقف حرج، ويشير إلى وجود فجوة تنظيمية في خوارزميات التصنيف التي تعجز أحيانًا عن التمييز بين النطاقات الرسمية العريقة والنطاقات الاحتيالية الحديثة التي تستغل مسميات وعلامات تجارية شهيرة للمشاريع مفتوحة المصدر.رؤية Glitch4Techs
تُظهر هذه التطورات أن مجتمع المطورين والمهندسين، الذين يُفترض أنهم خط الدفاع الأول عن أمن البرمجيات، قد أصبحوا أنفسهم الهدف المفضل لمجموعات الجريمة المنظمة. إن خداع مستخدمي أدوات متقدمة مثل Ghidra وdnSpy يتطلب مستوى غير تقليدي من المهارة، مما يثبت أن تقنيات الهندسة الاجتماعية لم تعد تقتصر على استهداف المستخدم البسيط بل تكيّفت لاختراق النخبة التقنية. في Glitch4Techs، نرى أن الثقة المطلقة في نتائج محركات البحث لم تعد خيارًا آمنًا لبيئات العمل الاحترافية. نوصي المؤسسات بتبني سياسات أمنية صارمة تمنع تحميل أدوات التطوير والتحليل إلا من خلال مستودعات الإدارة المركزية والتحقق الإلزامي من التوقيعات الرقمية وقيم الهاش SHA-256 الخاصة بالملفات التنفيذية ومقارنتها بالقيم الموثقة في المشاريع الأصلية. كما يجب على مسؤولي الشبكات حظر الاتصالات المتجهة إلى منصات التوجيه الذكية وشبكات تسييل النقرات، لأن تداخل البنية التحتية للإعلانات الرمادية مع شبكات توزيع البرمجيات الضارة يعني أن أي تفاعل عشوائي قد ينتهي بكارثة أمنية تطيح بكامل أصول المؤسسة الرقمية.النشرة البريدية
كن أول من يعرف بمستقبل التقنية
أهم الأخبار والتحليلات التقنية مباشرة في بريدك.