كشفت أبحاث أمنية عن نمط هجومي متطور يستهدف المطورين من خلال استغلال سلوك البحث السريع عن طرق التثبيت البرمجية. لا يعتمد هذا الهجوم على ثغرة برمجية داخل أداة OpenClaw نفسها، بل يرتكز على انتحال حزم التثبيت في مستودعات GitHub العامة ودفعها للظهور ضمن النتائج المعززة بالذكاء الاصطناعي. يجعل هذا الأسلوب الروابط الخبيثة تبدو موثوقة للمستخدمين الذين ينفذون أوامر جاهزة دون التحقق من مصدرها.
أفادت تقارير بأن باحثين من شركة Huntress رصدوا حملة تزرع مثبتاً مزيفاً لبرمجية OpenClaw داخل مستودعات GitHub، مع توجيه المستخدمين لتشغيله كأنه ملف شرعي، لينتهي الأمر بتنزيل برمجيات خبيثة عبر حزمة تُعرف باسم Stealth Packer.
وفي سياق متصل، أوضحت تقارير أخرى دور محرك البحث Bing في ترشيح هذه المستودعات الخبيثة ضمن نتائج البحث الخاصة بتثبيت OpenClaw على نظام Windows، حيث صمم المهاجمون هذه المستودعات بدقة لتشبه المشاريع الأصلية عبر نسخ كود المصدر من مشاريع حقيقية لإضفاء مصداقية زائفة.
آليات التسلل وحمولات البرمجيات الخبيثة عبر الأنظمة
تبدأ العملية بإنشاء مستودعات على منصة GitHub بأسماء توحي بأنها رسمية، مع تقديم تعليمات تشغيل سريعة عبر أوامر Bash أو PowerShell. ربط المهاجمون هذه المستودعات بمنظمات ذات أسماء تبدو شرعية لتعزيز ظهورها في محركات البحث. تكمن الخطورة في قدرة هذه الروابط على التسلل إلى توصيات البحث الذكية، ما يمنحها ثقة تلقائية من قبل المستخدمين. وبمجرد بدء التثبيت، تختلف الحمولة الخبيثة باختلاف نظام التشغيل المستهدف.
في أنظمة Windows، يعمل ملف يحمل اسم OpenClaw_x64.exe كبوابة لتنزيل ملفات تنفيذية خبيثة تعمل داخل الذاكرة، وهو أسلوب يصعب رصده أمنياً لأنه لا يترك أثراً كبيراً على القرص الصلب. أما في أنظمة macOS، فتطلب من المستخدم أوامر عبر واجهة Terminal تقود إلى مستودعات تنتهي بتثبيت سارق المعلومات الشهير Atomic Stealer المعروف اختصاراً بـ AMOS. تتجاوز الأضرار سرقة البيانات لتشمل تعديل إعدادات الجدار الناري لتشغيل برمجية GhostSocks، التي تحول جهاز الضحية إلى عقدة بروكسي لتمرير حركة مرور البيانات الخاصة بالمهاجمين.
تصنف GhostSocks، وفقاً لقاعدة بيانات Malpedia، كبرمجية وساطة مبنية بلغة Go تُباع كخدمة منذ عام 2023. تتيح هذه الأداة للمهاجمين إخفاء هويتهم أو تجاوز أنظمة التحقق متعدد العوامل (MFA) عبر تنفيذ هجماتهم من خلال جهاز الضحية الذي يبدو مألوفاً للأنظمة الأمنية. تشير التحليلات الصادرة عن Infrawatch إلى أن استخدام هذه الأدوات يرتبط غالباً بشبكات الاحتيال والاتجار بالوصول غير المشروع إلى الأجهزة.
تحصين بيئة العمل ومخاطر الثقة في الأوامر الجاهزة
تستهدف هذه الحملة مرحلة “ما قبل الاستخدام”، وهي اللحظة التي يندفع فيها التقنيون لتجربة أدوات جديدة تحت ضغط الوقت، ما يقلل من مستوى التدقيق الأمني. يمثل الترويج الخوارزمي لهذه الروابط عبر واجهات البحث الذكية تحولاً في أساليب الهندسة الاجتماعية، حيث لم يعد الهجوم معتمداً على رسائل التصيد التقليدية فقط، بل بات يستغل التوصيات الآلية التي يفترض المستخدمون أنها خضعت للفحص. ورغم وضوح آلية الهجوم، لا تزال الإحصائيات الدقيقة لعدد الضحايا أو تحديد الجهة المنفذة بدقة غير متوفرة في التقارير المنشورة حالياً.
تتطلب الوقاية من هذه التهديدات حصر عمليات التثبيت في المصادر الرسمية فقط، وتجنب مسارات الطرف الثالث أو الروابط غير الموثقة. يجب على المطورين إعادة ضبط التعامل مع أوامر الطرفية الجاهزة، خاصة الأوامر التي تقوم بتحميل وتنفيذ الملفات مباشرة من الإنترنت، مثل curl pipe bash. وفي البيئات المؤسسية، ينصح باختبار الحزم في مستودعات داخلية قبل إتاحتها للاستخدام، مع تفعيل أنظمة الكشف والاستجابة لنقاط النهاية (EDR) لرصد أي سلوكيات مشبوهة مثل التعديلات المفاجئة في الجدار الناري أو الاتصالات الخارجية غير المبررة.
