كشف خبراء أمنيون عن تهديد سيبراني جديد يستهدف مستخدمي محرر النصوص الشهير EmEditor، خاصة بين مجتمعات المطورين في اليابان. وتعرضت الصفحة الرسمية لتحميل البرنامج للاختراق في أواخر ديسمبر 2025، مما سمح للمهاجمين بتوزيع نسخ معدلة من المثبت تحتوي على برمجيات خبيثة.
هذا الهجوم يسلط الضوء على كيف يمكن للمنصات البرمجية الموثوقة أن تتحول إلى قنوات خطيرة لنشر البرمجيات الخبيثة المتطورة. واجه المطورون والمؤسسات التي تعتمد على هذه الأداة مخاطر فورية قبل اكتشاف الاختراق.
اختراق EmEditor: آلية استهداف المطورين ببرمجيات تجسس
استغل المهاجمون هذا الاختراق لتوزيع برمجيات خبيثة متعددة المراحل تهدف إلى سرقة بيانات الاعتماد، وجمع البيانات، والتسلل إلى داخل الشبكات. عندما قام المستخدمون بتنزيل ما بدا أنه برنامج EmEditor الأصلي، قاموا بتثبيت نسخة تحمل برنامجاً خبيثاً قادراً على سرقة معلومات حساسة وتمكين عمليات اختراق لاحقة.
توقيت الهجوم، الذي تزامن مع فترة العطلات نهاية العام حيث تكون فرق الأمن غالباً ما تعمل بنقص في الموظفين، يشير إلى أن المهاجمين اختاروا هذه الفترة عمداً لزيادة فرص عدم اكتشافهم خلال مرحلة الإصابة الأولية.
تحليل الهجوم
قام محللو شركة Trend Micro بتحديد هذا الهجوم الذي يستهدف سلسلة التوريد، ضمن جهودهم المستمرة في مجال استخبارات التهديدات، وقدموا تحليلاً فنياً مفصلاً لبنية البرمجيات الخبيثة وقدراتها.
اكتشف فريق البحث أن المثبت المخترق يقوم بتشغيل أمر PowerShell عند التنفيذ، والذي يسحب الحمولة الأولى من نطاق تم تسميته بخداع. تقوم البرمجية الخبيثة بعد ذلك بتنزيل حمولتين إضافيتين تنشئان مثابرة وتبدآن في جمع معلومات النظام، كل ذلك مع استخدام تقنيات تمويه متقدمة لتجنب أنظمة الكشف المبكر.
آلية الإصابة وتكتيكات التخفي
يحتوي ملف المثبت .MSI المخترق على نصوص برمجية معدلة يتم تنفيذها دون إثارة تحذيرات أمنية واضحة. بمجرد تشغيلها، تقوم البرمجية الخبيثة بإنشاء أمر PowerShell يسحب الكود المخفي من خوادم بعيدة مستضافة على نطاقات تحاكي البنية التحتية الشرعية لـ EmEditor.
استخدم المهاجمون تقنيات معالجة النصوص عبر النصوص البرمجية، مما يجعل تحليل الكود بواسطة أدوات الأمان الآلية صعباً. تتصل الحمولة الأولى بعنواني URL إضافيين لسحب المكونات الرئيسية للبرمجية الخبيثة، حيث يقوم كل منها بوظائف خبيثة مميزة بما في ذلك جمع بيانات الاعتماد، وكشف برامج الأمان، وبصمة النظام.
تعمل الحمولة الثانية كآلية أساسية لمكافحة الأمان، حيث تقوم بتعطيل تتبع أحداث PowerShell لنظام Windows لمنع تسجيلات الأمان. كما أنها تصل إلى مدير بيانات اعتماد Windows لاستخراج كلمات المرور المخزنة وتلتقط لقطات شاشة للأنظمة المصابة.
تتولى الحمولة الثالثة مسؤولية الاتصالات القيادية والتحكم مع البنية التحتية للمهاجمين، مع إجراء فحوصات جغرافية تستبعد دولاً محددة، مما يشير إلى تورط جهات من روسيا أو دول رابطة الدول المستقلة. تشير التحليلات الفنية إلى أن البرمجية الخبيثة تحتوي على معرف حملة ثابت عبر جميع الاتصالات، مما يساعد الباحثين على تتبع الأنظمة المتأثرة وتنسيق جهود الاستجابة على مستوى الصناعة.