كشفت شركة كاسبرسكي عن إطار برمجي خبيث جديد يستهدف مستثمري العملات الرقمية، وفقاً لتقرير صدر الأربعاء. أُطلق عليه اسم OkoBot، وتبدأ البرمجية الخبيثة سلاسل العدوى عبر أساليب الهندسة الاجتماعية مثل ClickFix وتطبيقات GitHub مُتضمَّنة بالحصان (Trojan) تمنح أبواباً خلفية للأجهزة المصابة. حددت كاسبرسكي عدة هجمات تتضمن هذه العائلة من البرامج الخبيثة منذ يناير 2026. وتطوّر هذا البرمجية الخبيثة من TookPS، وهي حملة تم تحديدها لأول مرة في 2025، وزّعت مُحمِّلاً تروجان عبر مواقع ويب مزيفة للبرامج. وفي سياق منفصل، أفادت شركة SlowMist يوم السبت بأن حملة برمجية خبيثة تستهدف مطوري Web3 عبر فرص توظيف مزيفة على LinkedIn، حيث تسلّم أحصنة وصول عن بعد عبر مستودعات GitHub خبيثة مُقدّمة على أنها مواد لاختبارات المقابلات التقنية.
OkoBot Framework Harvests Wallet Files Through SSH Tunnel Architecture
يمكن للبرمجية الخبيثة OkoBot تجميع ملفات محافظ العملات الرقمية وبيانات المتصفح وبيانات اعتماد المستخدمين، وإدخال ملحقات خبيثة، والتقاط نوافذ تطبيقات المحافظ بهدف سرقة الأصول، وفقاً لما كتبته كاسبرسكي في التقرير. يختلف هذا الإطار عن الحملات السابقة من حيث تنسيق جميع الحمولة الخبيثة البالغ عددها 20 حمولة عبر نفق SSH، ما يتيح نقل البيانات عن بُعد من الحواسيب المصابة إلى أجهزة يسيطر عليها المهاجمون. وأضافت كاسبرسكي أن إطار البرمجية الخبيثة يفتح الباب أمام هجمات تقليدية.
Fake LinkedIn Recruiters Deliver Trojans via GitHub Repositories
يتواصل المهاجمون مع مطوري البلوك تشين عبر LinkedIn، متظاهرين بأنهم مجندون في Web3، وفقاً لـSlowMist. يرسلون مستودعات GitHub مزيفة إلى الضحايا، مدّعين أنها تتضمن الحد الأدنى من المنتج القابل للتطبيق الذي يلزم تجربته قبل المقابلة، وفقاً لما قالته شركة أمن البلوك تشين في تقرير يوم السبت. ويشبه سير العمل بشكل وثيق مقابلة تقنية شرعية يقوم فيها المطورون بجلب الشيفرة وتثبيت التبعيات وتشغيل المشروع، وهو ما يجعل من الصعب ملاحظة الهجوم. تستهدف البرمجية الخبيثة تسليم حصان وصول عن بعد كامل يُصيب الأجهزة، بما يمكّن المهاجمين من سرقة مفاتيح المشروع أو بيانات اعتماد السحابة أو بيانات ملحقات المحفظة من هؤلاء المطورين.
SlowMist Links Attack to Broader Developer-Targeting Campaign
كتبت SlowMist أن هذا الهجوم ليس حالة معزولة، مضيفة أن الحوادث الأخيرة تُظهر أن المهاجمين يعتمدون بشكل متزايد على سيناريوهات مثل التوظيف ومراجعات الشيفرة والتعاون في المشاريع لخداع المطورين من خلال دفعهم إلى تشغيل مستودعات خبيثة بشكل فعّال. جاء التقرير بعد يوم واحد من تحذير SlowMist من حملة برمجية خبيثة منفصلة تستهدف مستخدمي macOS، بهدف سرقة بيانات اعتمادهم واختطاف جلسات Telegram لديهم، وصولاً إلى خداع المستثمرين لإدخال عبارات استرداد محافظهم عبر مواقع ويب مزيفة.
FAQ
ما هي برمجية OkoBot الخبيثة ومتى تم تحديدها؟
يعد OkoBot إطاراً برمجياً خبيثاً يستهدف مستثمري العملات الرقمية، وقد اكتشفته كاسبرسكي في تقرير صدر يوم الأربعاء. حددت كاسبرسكي عدة هجمات تتضمن هذه العائلة من البرامج الخبيثة منذ يناير 2026. تبدأ البرمجية الخبيثة سلاسل العدوى عبر أساليب الهندسة الاجتماعية مثل ClickFix وتطبيقات GitHub مُتضمَّنة بالحصان (Trojan).
كيف يستهدف حملة التوظيف الوهمية على LinkedIn مطوري Web3؟
يتواصل المهاجمون مع مطوري البلوك تشين عبر LinkedIn متظاهرين بأنهم مجندون في Web3، وفقاً لتقرير SlowMist يوم السبت. يرسلون مستودعات GitHub مزيفة إلى الضحايا، مدّعين أنها تتضمن الحد الأدنى من المنتج القابل للتطبيق الذي يلزم تجربته قبل المقابلة. يشبه سير العمل مقابلة تقنية شرعية، ما يجعل من الصعب ملاحظة الهجوم.
ما البيانات التي تسرقها برمجية OkoBot من الأجهزة المصابة؟
يمكن لبرمجية OkoBot تجميع ملفات محافظ العملات الرقمية وبيانات المتصفح وبيانات اعتماد المستخدمين، وإدخال ملحقات خبيثة، والتقاط نوافذ تطبيقات المحافظ بهدف سرقة الأصول، وفقاً لما ذكرته كاسبرسكي. ينسّق الإطار جميع الحمولة الخبيثة البالغ عددها 20 حمولة عبر نفق SSH، ما يتيح نقل البيانات عن بُعد من الحواسيب المصابة إلى أجهزة يسيطر عليها المهاجمون.