كشفت تقارير حديثة عن حملة سيبرانية متطورة تُعرف باسم RU-APT-ChainReaver-L، تستهدف بشكل منهجي المستخدمين عبر أنظمة تشغيل متعددة من خلال استغلال مواقع ويب مرآة مخترقة ومستودعات GitHub. تشكل هذه الحملة هجومًا معقدًا لسلسلة التوريد.
تُعد حملة RU-APT-ChainReaver-L واحدة من أكثر الهجمات تطوراً في مجال سلسلة التوريد، حيث نجحت في اختراق أنظمة تشغيل متعددة مثل ويندوز وماك أو إس وآي أو إس في وقت واحد. يستخدم المهاجمون تقنيات متقدمة، بما في ذلك التوقيع على التعليمات البرمجية بشهادات صالحة وسلاسل إعادة توجيه خادعة، فضلاً عن توزيع البرامج الضارة عبر خدمات سحابية شرعية، مما يجعل اكتشافها صعبًا للغاية.
تضرر مواقع ويب مرآة ومستودعات GitHub في حملة RU-APT-ChainReaver-L
تتسم البنية التحتية للحملة بنطاق وتعقيد استثنائيين. فقد تمكن المهاجمون من اختراق خدمتي مشاركة ملفات مرآتين رئيسيتين، وهما Mirrored.to و Mirrorace.org، واللتين تستخدمهما على نطاق واسع مواقع تنزيل البرامج حول العالم. ومن خلال حقن تعليمات برمجية خبيثة في هذه المنصات، حول المهاجمون البنية التحتية الموثوقة إلى آليات لتوزيع برامج تجسس وسرقة المعلومات.
عندما يحاول المستخدمون تنزيل ملفات عبر هذه الخدمات المخترقة، يتم إعادة توجيههم عبر صفحات وسيطة متعددة. تم تصميم هذه الصفحات لتجاوز أنظمة الكشف الأمني مع الحفاظ على مظهر شرعي، مما يزيد من احتمالية وقوع المستخدمين ضحية.
من جهة أخرى، اكتشف محللو GRAPH هذه الحملة أثناء التحقيق في حجم كبير من بيانات اعتماد المستخدمين التي ظهرت في أسواق الويب المظلم. تتبع فريق البحث هذه الحسابات المسروقة إلى عملية عدوى منسقة كانت نشطة لعدة أشهر. ومن خلال منصتهم الموسعة للكشف والاستجابة وعمليات البحث عن التهديدات، كشف باحثو GRAPH عن بنية تحتية للهجوم تمتد عبر أكثر من 100 نطاق، بما في ذلك خوادم التحكم والقيادة وصفحات العدوى ووسطاء إعادة التوجيه.
يُذكر أن مشغلي الحملة يقومون باستمرار بتحديث أدواتهم وبنيتهم التحتية، وتعديل توقيعات البرامج الضارة وطرق التوزيع على فترات قصيرة للتغلب على اكتشاف برامج مكافحة الفيروسات.
اختراق GitHub وقدرات البرمجيات الخبيثة
يُظهر استخدام الحملة لمستودعات GitHub فهمًا متطورًا لنقاط الضعف التي قد لا تنتبه إليها فرق الأمن. لاحظ باحثو GRAPH أن المهاجمين اخترقوا 50 حسابًا على GitHub، العديد منها مسجل منذ سنوات وله تاريخ مثبت، لإعادة استخدامها في استضافة مستودعات خبيثة. غالبًا ما تم اختراق هذه الحسابات في نوفمبر 2025 وأعيد توظيفها لتوزيع برامج مقرصنة وأدوات تفعيل، مما استهدف المستخدمين الذين يبحثون عن برامج غير قانونية.
تعتمد منهجية الهجوم على نظام تشغيل الضحية. فمستخدمو ويندوز يتم إعادة توجيههم إلى خدمات تخزين سحابي مثل MediaFire، حيث تحتوي الأرشيفات المحمية بكلمة مرور على برامج ضارة موقعة تبدو شرعية لبرامج الأمان. أما مستخدمو ماك أو إس فيواجهون هجمات ClickFix، حيث تخدع الصفحات الخادعة المستخدمين لتنفيذ أوامر في موجه الأوامر يدويًا، مما يؤدي إلى تنزيل وتثبيت برامج MacSync Stealer الضارة. بالنسبة لمستخدمي آي أو إس، يتم توجيههم إلى تطبيقات VPN احتيالية على متجر تطبيقات آبل، والتي تشن بدورها هجمات تصيد احتيالي تستهدف أجهزتهم.
تُشغّل البرامج الضارة الخاصة بويندوز كأداة لسرقة المعلومات، حيث تلتقط لقطات شاشة، وتستخرج بيانات محافظ العملات المشفرة، وقواعد بيانات برامج المراسلة، وبيانات اعتماد المتصفحات، وتنسخ ملفات من مجلدات سطح المكتب والمستندات والتنزيلات. وأشار محللو GRAPH إلى أن العينات تتضمن شهادات توقيع تعليمات برمجية صالحة من شركات متعددة، مما يزيد بشكل كبير من صعوبة جهود الكشف.
يعمل برنامج MacSync Stealer الخاص بنظام ماك أو إس في الذاكرة دون الاعتماد على الملفات، ويجمع بيانات المتصفح، ومحافظ العملات المشفرة بما في ذلك Ledger و Trezor، ومفاتيح SSH، وبيانات اعتماد AWS. في المقابل، تنصح التقارير المؤسسات بتطبيق استراتيجيات دفاع شاملة، حيث يُعد تثقيف المستخدمين هو الطبقة الأكثر أهمية، نظرًا لاعتماد العدوى على الهندسة الاجتماعية.
يجب على فرق الأمن نشر حماية شاملة لنقاط النهاية، بما في ذلك أنظمة الكشف والاستجابة المتقدمة (EDR) القادرة على اكتشاف سلوكيات العمليات غير العادية وأنماط الوصول المشبوهة للملفات. يجب أن يركز رصد الشبكة على الاتصالات بخدمات مشاركة الملفات والنطاقات المسجلة حديثًا. وينبغي على المؤسسات تقييد الوصول المباشر للإنترنت لأنظمة المستخدمين، وتوجيه التنزيلات عبر منصات تحليل الملفات التي تستخدم التحليل الثابت والديناميكي وتعلم الآلة.