إعلانات البحث، الدردشات المشتركة، وفخ macOS مبني على الثقة
تستخدم حملة مُبلّغ عنها إعلانات Google وروابط الدردشة المشتركة بالذكاء الاصطناعي لدفع دليل مزيف بعنوان “Claude Code on Mac”، محوّلةً عادات الإعداد اليومية إلى مسار لتسليم البرمجيات الخبيثة.
المقدمة
أحيانًا لا يبدو أكثر طرق تسليم البرمجيات الخبيثة فعالية كاختراق على الإطلاق. بل يبدو كدليل تثبيت مفيد، وعلامة تجارية مألوفة، واختصار يوفّر بضع دقائق. في هذه الحالة، صُمِّم الإغراء حول سير عمل حقيقي للمطورين: البحث عن تعليمات الإعداد، وفتح دردشة مشتركة، واتباع أوامر النسخ واللصق على macOS. هذا المزيج من الراحة والثقة هو بالضبط ما يجعل السلسلة خطيرة.
حقائق سريعة
- تستهدف الحملة المُبلّغ عنها مستخدمي macOS.
- تُعد إعلانات Google وروابط دردشة Claude المشتركة جزءًا من مسار التسليم.
- يقدّم الإغراء نفسه على أنه دليل تثبيت رسمي لـ “Claude Code on Mac”.
- يُوصف الحمولة بأنها متغير من برمجية MacSync الخبيثة.
- يبقى مسار التقنية الإعلانية والتفاصيل الخاصة بالبنية التحتية غير مؤكدة.
المتن
من منظور تقني، هذا هجوم على طبقة الثقة وليس استغلالًا برمجيًا. يتمثل الهدف المرجح في نقل المستخدم من نتيجة ممولة أو صفحة دردشة قابلة للمشاركة إلى تدفق تثبيت يعتمد على الطرفية، حيث يمكن لأمر واحد منسوخ أن يجلب حمولة من المرحلة الثانية. وهذا مهم لأن دفاعات macOS تكون أقوى عندما تصل البرمجية الخبيثة كملف يمكن فحصه أو التحقق من notarization الخاصة به أو حظره. لكنها تصبح أضعف بكثير عندما يُقتنع المستخدم بتشغيل الشيفرة بنفسه.
Claude Code أداة تطوير حقيقية، وهذا الواقعية جزء من سوء الاستخدام. يمكن لصفحة إعداد مزيفة مبنية حول منتج حقيقي أن تقلل الشكوك، خاصة عندما تُقرن الصفحة برابط دردشة مشتركة يبدو مشروعًا. لقطات الدردشة المشتركة في منصات الذكاء الاصطناعي مفيدة للتعاون، لكنها تخلق أيضًا سطح ثقة جديدًا: فقد يتعامل المستخدمون مع الرابط المشترك وكأنه آمن تلقائيًا، لمجرد أنه موجود على منصة مألوفة.
تصف أبحاث مورّد ذات صلة MacSync على أنها عائلة سارق معلومات لنظام macOS يمكنها سرقة بيانات المتصفح وملفات تعريف الارتباط ومواد Keychain ومفاتيح SSH وغيرها من بيانات الاعتماد. هذا النوع من الحمولة ذو قيمة خاصة للمجرمين لأنه يحول نقرة واحدة ناجحة ضمن الهندسة الاجتماعية إلى وصول إلى الحسابات والرموز وخدمات السحابة اللاحقة. ولا يقتصر الخطر الأوسع على اختراق الجهاز المحلي، بل يمتد إلى سرقة الهوية وخطف الجلسات عبر الأنظمة المتصلة.
يُعترف بالإعلانات الخبيثة ضمن MITRE ATT&CK كتقنية للحصول على البنية التحتية، كما أن تنفيذ المستخدم المحفَّز بروابط خبيثة يمثل مسارًا منفصلًا ومعروفًا جيدًا. وعند جمعهما، يوضحان لماذا تظل النتائج الممولة جذابة للمهاجمين: فهي تعترض المستخدمين في لحظة النية نفسها، عندما يكون الناس يبحثون بنشاط عن التعليمات ويكونون أقل ميلًا للتشكيك في أول نتيجة يرونها.
حتى وقت كتابة هذا التقرير، لم تُثبت المعلومات العامة بالكامل السبب الجذري التقني، ولا النطاق الكامل للمستخدمين المتأثرين، ولا ما إذا كانت كل خطوة في سلسلة التسليم متطابقة عبر الضحايا. والأدلة المتاحة تدعم تحليلًا للمخاطر، لا ادعاءً حاسمًا بشأن البنية التحتية الكاملة للحملة.
الخلاصة
الدرس بسيط لكنه مزعج: يمكن أن يبدأ الاختراق الحديث بشيء يبدو روتينيًا. إعلان بحث، ودردشة مشتركة، وأمر في الطرفية، تكفي للانتقال من الفضول إلى الإصابة. في عام 2026، يتعين على المدافعين التعامل مع روابط الذكاء الاصطناعي والنتائج الممولة بوصفها جزءًا من سطح الهجوم، لا مجرد ضجيج خلفية على الإنترنت.
TECHCROOK
hardware security key: تُعد مفتاح الأمان المادي المتوافق مع FIDO2 وسيلة عملية لتعزيز عمليات تسجيل الدخول إلى البريد الإلكتروني وحسابات المطورين والخدمات السحابية. فهو يضيف عامل مصادقة ثانٍ ماديًا، ما يجعل كلمات المرور المسروقة أقل فائدة. احتفِظ بمفتاح احتياطي مخزّن بشكل منفصل.
WIKICROOK
- الإعلانات الخبيثة: استخدام البنية التحتية الإعلانية لتوجيه المستخدمين نحو وجهات أو حمولات خبيثة.
- سارق معلومات: برمجية خبيثة صُممت لجمع بيانات الاعتماد وبيانات المتصفح وملفات تعريف الارتباط وغيرها من المعلومات الحساسة.
- رابط دردشة مشتركة: عنوان URL على نمط اللقطة يتيح للمستخدمين عرض محادثة على منصة ذكاء اصطناعي.
- تنفيذ عبر الطرفية: تشغيل الأوامر في واجهة سطر الأوامر، ويُستخدم غالبًا في تدفقات تثبيت المطورين.
- Gatekeeper: عنصر تحكم أمني في macOS يساعد على حظر البرامج غير الموثوقة من التشغيل.
