كشفت حملة برمجية خبيثة اكتُشفت حديثًا عن استخدامها لمستودعات GitHub مزيفة لنشر برمجيات ضارة تستهدف مطوري البرمجيات، ولاعبي الألعاب، ومستخدمي Roblox، وعملات التشفير في آن واحد. وتُظهر الدقة التقنية في هذه الحملة، التي يُشار إليها داخلياً باسم “مصنع إغراء ترودن”، قدرات متقدمة لدى الجهة الفاعلة.
تتركز الهجمة على مستودع GitHub تم إنشاؤه ببراعة، وهو AAAbiola/openclaw-docker، والذي ينتحل صفة أداة نشر Docker لمشروع OpenClaw AI الشرعي. تم تزويد المستودع بصفحة README احترافية تشتمل على تعليمات التثبيت لنظامي التشغيل Windows و Linux، بالإضافة إلى صفحة GitHub.io مصاحبة ومساهمين حقيقيين، مما يزيد من مصداقيته.
ولزيادة المصداقية، قام المهاجم بتعزيز المشروع بحسابات وهمية أضافت نجومًا وإعجابات، بينما تم اختيار علامات تصنيف محددة بعناية مثل ai-agents، docker، openclaw، و LLM لدفع المستودع إلى مقدمة نتائج بحث المطورين.
حملة OpenClaw Trap تستغل GitHub
حدد باحثو Netskope Threat Labs الحملة بعد اكتشاف حزمة تحتوي على برمجيات خبيثة تستخدم تقنيات التهرب السلوكي المصممة للتغلب على خطوط التحليل الآلي. وكشفت الأبحاث عن استخدام نفس سلسلة الأدوات الخبيثة عبر أكثر من 300 حزمة توصيل مؤكدة، وتشمل برامج الغش للألعاب، وتطبيقات تتبع الهواتف، وبرامج كسر VPN، وسكربتات Roblox، وكلها مستضافة على مستودعات GitHub متعددة ومتصلة بنفس البنية التحتية للمهاجم.
تشير أسماء مجلدات الإغراء، المستمدة من علم الأحياء، واللاتينية القديمة، والمصطلحات الطبية، بقوة إلى أن التسمية قد تم إنشاؤها بواسطة الذكاء الاصطناعي، مما يشير إلى إنتاج برمجيات خبيثة بمساعدة الذكاء الاصطناعي على نطاق واسع. وتمتد آثار الحملة لتشمل مجموعة واسعة من المستخدمين، حيث يتم تحديد الموقع الجغرافي لكل جهاز ضحية فور بدء التنفيذ، ويتم التقاط لقطة شاشة كاملة لسطح المكتب وإرسالها إلى خادم القيادة والتحكم (C2) في فرانكفورت بألمانيا.
بوجود ثمانية عناوين IP مؤكدة خلف نفس الواجهة الخلفية ذات التحميل المتوازن، فإن البنية التحتية مبنية بوضوح لتحقيق حجم كبير من الإصابات. وقد ربط الباحثون المشغل أيضًا بقناة Telegram تحمل اسم TroyDen منذ يونيو 2025، مما يشير إلى أن هذه الحملة كانت نشطة قبل أشهر من ظهور مستودعات GitHub.
آلية العمل والهجوم
الجزء الأكثر تميزًا من الناحية التقنية في هذه الحملة هو الطريقة التي يتم بها تقسيم الحمولة لتجنب الكشف. تحتوي كل حزمة ZIP خبيثة على ثلاثة عناصر: ملف دفعي يسمى Launch.bat، ومُشغّل LuaJIT مُعاد تسميته باسم unc.exe، ونظام Lua مُشفر مخفي كـ license.txt. عندما يتم تقديم أي من الملفين إلى ماسح آلي بمفرده، يبدو غير ضار.
لا تظهر الخطورة إلا عندما يقوم ملف الدفعة بتشغيل كلا المكونين معًا وبالترتيب الصحيح، وهو تصميم يستغل بشكل مباشر كيفية قيام صناديق الرمل القياسية بتحليل الملفات بشكل فردي. بمجرد تفعيل كلا الجزأين، تعمل الحمولة من خلال خمسة فحوصات لمكافحة التحليل، حيث تبحث عن وجود مصححات الأخطاء، أو انخفاض ذاكرة الوصول العشوائي، أو قصر وقت تشغيل النظام، أو صلاحيات مرتفعة، أو أسماء أجهزة كمبيوتر محددة.
إذا بدا أي شيء وكأنه صندوق رمل، يتوقف التنفيذ. إذا لم يكن الأمر كذلك، يتم استدعاء وظيفة Sleep() لمدة 29,000 عام تقريبًا، وهي فترة طويلة بما يكفي لتجاوز أي نافذة تحليل محددة بوقت. بحلول الوقت الذي تبلغ فيه أداة الأمان عن نتيجة سليمة، تكون الحمولة قد تم تنفيذها بالفعل على جهاز حقيقي دون ترك أي أثر في سجلات صندوق الرمل.
يقوم Prometheus Obfuscator بعد ذلك بإعادة كتابة تدفق التحكم لبرنامج Lua النصي، مما يجعل تحليل الكود الثابت غير موثوق به. تقوم أربع عمليات كتابة في السجل بتعطيل الكشف التلقائي عن وكيل Windows، مما يدفع حركة المرور الصادرة لتجاوز طبقات الفحص الخاصة بالشركات. تقوم الحمولة بعد ذلك بالتقاط سطح المكتب بالكامل وتحميله عبر طلب POST متعدد الأجزاء مُشفر إلى خادم C2 في فرانكفورت، والذي يستجيب ببيانات مشفرة وكتل تحميل تم حفظها في مجلد المستندات الخاص بالضحية.
يكشف حد سلسلة C2 – وهو قيمة ثابتة بطول 38 حرفًا تتكرر في كل طلب ملاحظ – أن المشغل قد استخدم على الأرجح جيل كود بمساعدة الذكاء الاصطناعي لبناء لوحة جانب الخادم.
يجب على أي شخص قام بتنزيل حزم من مستودعات GitHub المتأثرة الثلاثة التعامل مع جهازه على أنه مخترق والبحث عن علامات الوصول غير المصرح به. ويجب على فرق الأمن التعامل مع أي تنزيل على GitHub يجمع بين مترجم مُعاد تسميته وملف بيانات غير شفاف كقضية ذات أولوية قصوى. يجب نشر مؤشرات التهديد (IOCs) المنشورة على الفور في أدوات الكشف والاستجابة للنقاط النهائية (EDR) وأدوات مراقبة الشبكة، ويجب حظر جميع الاتصالات الصادرة إلى عناوين IP المؤكدة لـ C2 على مستوى جدار الحماية.