كاسبرسكي تكشف عن إطار عمل برمجيات خبيثة يستهدف مستثمري العملات الرقمية عبر OkoBot

كشفت شركة كاسبرسكي عن إطار برمجي خبيث جديد يستهدف مستثمري العملات الرقمية في تقرير صدر يوم الأربعاء. أُطلق عليه اسم OkoBot، ويبدأ مسار عدوى عبر أساليب الهندسة الاجتماعية مثل ClickFix، التي تخدع المستخدمين لتشغيل أوامر ضارة، أو تطبيقات GitHub مُحوّرة (مُدمجة بالحصان طروادة) توصل بابًا خلفيًا إلى الأجهزة المصابة. حددت كاسبرسكي عدة هجمات تتضمن هذه العائلة من البرمجيات الخبيثة منذ يناير 2026. يمكن للبرمجية الخبيثة جمع ملفات محافظ العملات الرقمية وبيانات المتصفح وبيانات اعتماد المستخدمين، وحقن ملحقات ضارة، والتقاط نوافذ تطبيقات المحفظة لسرقة الأصول. وتطور إطار البرمجيات الخبيثة من TookPS، وهي حملة برمجيات خبيثة جرى تحديدها لأول مرة في 2025، وجرى توزيع مُحمّل لتروجان عبر مواقع ويب مزيفة تبيع البرمجيات.

يعمل إطار OkoBot عبر بنية نفق SSH

يختلف OkoBot عن الحملات السابقة من خلال تنسيق جميع الحمولة الخبيثة البالغ عددها 20 حمولة عبر نفق SSH، ما يتيح نقل البيانات عن بُعد من أجهزة الكمبيوتر المصابة إلى أجهزة بعيدة يسيطر عليها المهاجمون. وأضافت كاسبرسكي أن الإطار يفتح الباب لشن هجمات تقليدية.

Original OkoBot infection chain. Source: Kaspersky

حملات LinkedIn مزيفة تستهدف مطوري Web3 عبر مستودعات GitHub خبيثة

وفقًا لشركة SlowMist، تستهدف حملة برمجيات خبيثة منفصلة اختراق أجهزة مطوري Web3 عبر فرص توظيف مزيفة على LinkedIn. وذكر تقرير صدر يوم السبت أن المهاجمين يتواصلون مع مطوري البلوك تشين عبر LinkedIn، متحلّين بصفة مجندين متخصصين في Web3، بحسب الشركة الأمنية لأمن البلوك تشين. ثم يرسلون إلى الضحايا مستودعات GitHub مزيفة، مدّعين أنها تحتوي على الحد الأدنى من المنتج القابل للتطبيق الذي يجب تجربته قبل إجراء المقابلة.

تشبه سير العمل عن كثب مقابلة تقنية شرعية، إذ يقوم المطورون بسحب الكود وتثبيت التبعيات وتشغيل مشروع، ما يجعل من الصعب ملاحظة الهجوم، وفقًا لـ SlowMist. تهدف البرمجية الخبيثة إلى تسليم تروجان وصول عن بُعد كامل يصيب الأجهزة، ما يمكّن المهاجمين من سرقة مفاتيح المشروع أو بيانات اعتماد السحابة أو بيانات ملحقات المحفظة من هؤلاء المطورين.

كتبت SlowMist أن هذا الهجوم ليس حالة معزولة، وأضافت أن الحوادث الأخيرة تُظهر أن المهاجمين يستفيدون بشكل متزايد من سيناريوهات مثل التوظيف ومراجعات الكود والتعاون في المشاريع لخداع المطورين كي يقوموا فعليًا بتشغيل مستودعات خبيثة. جاء التقرير بعد يوم واحد من تحذير SlowMist من حملة برمجيات خبيثة منفصلة تستهدف مستخدمي macOS، تهدف إلى سرقة بيانات اعتمادهم واختطاف جلسات Telegram لديهم، بهدف في النهاية خداع المستثمرين لإدخال عبارات استرداد محافظهم عبر مواقع ويب مزيفة.

الأسئلة الشائعة

ما هي برمجية OkoBot الخبيثة ومتى تم اكتشافها؟

يعد OkoBot إطارًا برمجيًا خبيثًا يستهدف مستثمري العملات الرقمية، وقد اكتشفته كاسبرسكي في تقرير صدر يوم الأربعاء. حددت كاسبرسكي عدة هجمات تتضمن هذه العائلة من البرمجيات الخبيثة منذ يناير 2026. تبدأ البرمجية الخبيثة العدوى عبر أساليب الهندسة الاجتماعية مثل ClickFix أو تطبيقات GitHub المُحوّرة، ويمكنها جمع ملفات محافظ العملات الرقمية وبيانات المتصفح وبيانات اعتماد المستخدمين، وحقن ملحقات ضارة، والتقاط نوافذ تطبيقات المحفظة.

كيف تستهدف حملات التوظيف المزيفة على LinkedIn مطوري Web3؟

يتواصل المهاجمون مع مطوري البلوك تشين عبر LinkedIn، متحلّين بصفة مجندين متخصصين في Web3، وفقًا لتقرير SlowMist الصادر يوم السبت. ويرسلون مستودعات GitHub مزيفة إلى الضحايا، مدّعين أنها تحتوي على الحد الأدنى من المنتج القابل للتطبيق الذي يحتاج إلى تجربته قبل إجراء المقابلة. تشبه سير العمل مقابلة تقنية شرعية، إذ يقوم المطورون بسحب الكود وتثبيت التبعيات وتشغيل مشروع، ما يجعل من الصعب ملاحظة الهجوم. وتقدم البرمجية الخبيثة تروجان وصول عن بُعد يسرق مفاتيح المشروع أو بيانات اعتماد السحابة أو بيانات ملحقات المحفظة.

إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة مستمدة من مصادر خارجية وهي للمرجعية فقط. لا تمثل هذه المعلومات آراء أو وجهات نظر Gate ولا تشكل أي نصيحة مالية أو استثمارية أو قانونية. ينطوي تداول الأصول الافتراضية على مخاطر عالية. يرجى عدم الاعتماد حصرياً على المعلومات الواردة في هذه الصفحة عند اتخاذ القرارات. لمزيد من التفاصيل، يرجى الرجوع على إخلاء المسؤولية.
تعليق
0/400
لا توجد تعليقات