كشفت حملة برمجيات خبيثة خطيرة تستهدف مطوري البرمجيات عن شبكة جديدة من البرامج الضارة التي تنتحل صفة أدوات تطوير موثوقة لسرقة بيانات حساسة. يأتي هذا الاكتشاف ليؤكد على التحديات المستمرة في حماية الأنظمة في ظل التطور السريع للتهديدات السيبرانية.
تم نشر الحزمة الضارة تحت اسم @openclaw-ai/openclawai، متخفية كأداة شرعية لسطر الأوامر تُعرف باسم “OpenClaw Installer”. تعمل هذه الحزمة على نشر سلسلة عدوى عميقة مخفية تقوم بسرقة بيانات الاعتماد، محافظ العملات المشفرة، مفاتيح SSH، جلسات المتصفح، وحتى محادثات iMessage، كل ذلك بشكل صامت وخلف الكواليس.
تحليل حملة GhostClaw الخبيثة
تُعرف البرمجية الخبيثة داخلياً باسم GhostLoader، بينما يتم تتبع الحملة الأوسع باسم GhostClaw. تستهدف هذه الحملة بشكل خاص المطورين الذين يعتمدون على نظام npm البيئي في عملهم اليومي، مما يجعلهم عرضة للخطر بشكل خاص.
بمجرد تشغيل أمر التثبيت من قبل المطور، تقوم الحزمة بإعادة تثبيت نفسها سراً على مستوى النظام العالمي من خلال آلية postinstall hook. يضمن هذا الإجراء وصول الملف الثنائي الخبيث إلى مسار النظام PATH دون لفت الانتباه. من هذه النقطة، يشير الملف الثنائي إلى setup.js، وهو برنامج إنزال مُشفر يبدأ سلسلة العدوى الكاملة.
هذا المستوى من الخداع يكشف بوضوح مدى الدقة التي صمم بها المهاجمون GhostClaw لتمتزج مع أدوات التطوير العادية منذ البداية. وتُعد هذه البرمجية تهديداً متطوراً يتطلب وعياً عالياً من قبل المتخصصين في مجال الأمن السيبراني.
اكتشاف التهديد من قبل باحثي JFrog
اكتشف باحثو JFrog Security هذه الحزمة الخبيثة في npm registry في 8 مارس 2026، أثناء مراقبتهم المستمرة للأنماط المشبوهة. قام الباحث Meitar Palas بتوثيق النطاق الكامل للهجوم بعناية، بما في ذلك هيكل الحمولة متعدد المراحل، وآليات الهندسة الاجتماعية، وإطار الوصول عن بعد المستمر.
ما يجعل GhostClaw مقلقة بشكل خاص هو المدى الواسع للبيانات التي تجمعها. فهي لا تقتصر على بيانات الاعتماد الأساسية، بل تشمل قواعد بيانات iCloud على macOS، وبيانات اعتماد السحابة المخزنة في ملفات تكوين AWS، و GCP، و Azure. كما أنها تبحث في مجلدات سطح المكتب عن عبارات سرية للعملات المشفرة من نوع BIP-39.
إضافة إلى ذلك، تلتقط البرمجية جميع كلمات المرور المحفوظة في المتصفحات وقسائم بطاقات الائتمان عبر متصفحات متعددة تعتمد على Chromium. وتنجح في استخلاص سجلات iMessage عند حصولها على إذن الوصول الكامل إلى القرص على macOS، مما يوسع من دائرة الضرر بشكل كبير.
استهداف شامل للمنصات
لا يقتصر الهجوم على منصة واحدة، بل يستهدف مطوري macOS و Linux و Windows على حد سواء. تقوم GhostClaw بتكييف طريقة التحقق من بيانات الاعتماد لتتناسب مع نظام التشغيل الذي تعمل عليه. هذه القدرة على العمل عبر منصات متعددة، جنباً إلى جنب مع تقنيات التهرب والاستمرارية المصممة جيداً، تجعلها واحدة من أكثر التهديدات اكتمالاً وخطورة التي تستهدف npm registry في السنوات الأخيرة.
الهندسة الاجتماعية في جوهر الهجوم:
الجزء الأكثر إثارة للقلق في سلسلة عدوى GhostClaw هو الطريقة التي تخدع بها المطورين لتقديم كلمات مرور أنظمتهم طواعية. بعد تشغيل أمر التثبيت، يعرض برنامج الإنزال الأول setup.js واجهة تثبيت وهمية مقنعة، مصحوبة بـأشرطة تقدم متحركة ومخرجات سجل نظام واقعية.
بمجرد انتهاء عرض التقدم، يعرض البرنامج النصي على الفور مربع حوار يبدو تماماً مثل مطالبة تفويض macOS الأصلية، طالباً من المستخدم إدخال كلمة مرور المسؤول الخاصة به لإكمال “تهيئة صندوق تخزين آمن”.
يسمح المهاجم بما يصل إلى خمس محاولات لكلمة المرور، ويتحقق من كل منها مقابل آلية المصادقة الفعلية لنظام التشغيل. يضمن هذا أن أي إدخال غير صحيح ينتج عنه رسالة فشل ذات مظهر أصيل. بينما يتفاعل الضحية مع هذا المربع، يقوم البرنامج النصي في نفس الوقت بجلب الحمولة الثانية من خادم القيادة والتحكم الخاص بالمهاجم على trackpipe[.]dev، مع فك تشفيرها باستخدام تشفير AES-256-GCM بمفتاح مطابق يتم تسليمه في نفس استجابة الخادم.
تشكل الحمولة التي تم فك تشفيرها بالكامل – والتي تتكون من حوالي 11,700 سطر من JavaScript – إطار عمل GhostLoader الكامل. يقوم هذا الإطار بتثبيت نفسه بعمق في دليل مخفي، متظاهراً بأنه خدمة شرعية لتتبع بيانات npm، ويبدأ في جمع كل ما يمكنه الوصول إليه في الجهاز المخترق بهدوء.
التوصيات للمطورين المتأثرين
بالنسبة للمطورين الذين قاموا بتثبيت هذه الحزمة، يُنصح بشدة بإزالة الدليل .npm_telemetry، والتحقق من ملفات تكوين shell مثل ~/.zshrc، ~/.bashrc، و ~/.bash_profile بحثاً عن خطوط hook محقونة. كما يجب إنهاء أي عمليات monitor.js قيد التشغيل وإلغاء تثبيت الحزمة بالكامل.
يجب على الجميع، وخاصة اولئك الذين يستخدمون خدمات خارجية، استيعاب أهمية تأمين بياناتهم. ويجب إعادة تعيين جميع بيانات الاعتماد، بما في ذلك كلمات مرور النظام، ومفاتيح SSH، ورموز API لـ AWS، و GCP، و Azure، و OpenAI، و Stripe، و GitHub، بالإضافة إلى أي عبارات سرية لمحافظ العملات المشفرة المكشوفة. كما يجب إلغاء جلسات المتصفح النشطة على Google، و GitHub، وأي منصات أخرى لمنع الوصول غير المصرح به.
بالنظر إلى العمق الذي تتغلغل به هذه البرمجية الخبيثة، يوصى بشدة بإعادة تهيئة النظام بالكامل كإجراء احترازي شامل.