كشف باحثون أمنيون عن ظهور برمجية خبيثة جديدة لنظام macOS تُعرف باسم “notnullOSX”، تستهدف مستخدمي العملات المشفرة الذين يملكون محافظ تزيد قيمتها عن 10,000 دولار. تعتمد البرمجية على مسارين للهجوم، الأول عبر الهندسة الاجتماعية باستخدام تقنية “ClickFix” والثاني عبر ملفات صور القرص التالفة (DMG)، بهدف سرقة البيانات دون
تُعد هذه البرمجية المصممة بلغة Go، جزءًا من استراتيجية هجوم متكاملة، حيث يقوم المهاجمون باختيار الضحايا بعناية فائقة عبر لوحة تحكم مخصصة قبل إطلاق هجماتهم. ووفقًا لتقرير صادر عن Moonlock Lab، تم رصد أولى حالات اكتشاف notnullOSX في 30 مارس 2026، في ثلاث مناطق هي فيتنام وتايوان وإسبانيا.
notnullOSX: هجوم مستهدف على مستخدمي macOS
تشير التفاصيل إلى أن المهاجمين يملأون نموذجًا مخصصًا قبل استهداف أي شخص، يتضمن معلومات عن الملفات الشخصية على وسائل التواصل الاجتماعي، وعناوين محافظ العملات المشفرة، وسجل المراسلات. ويتم رفض أي طلب يكون رصيد المحفظة فيه أقل من 10,000 دولار، مما يؤكد الطبيعة المستهدفة لهذه البرمجية الخبيثة.
تبدأ عملية الإصابة من خلال مستند Google محمي زائف، يعرض خطأ في التشفير ويحث الضحية على اتخاذ إجراء، وكلا المسارين يؤديان إلى تثبيت البرمجية الخبيثة. يتمثل المسار الأول في استخدام ClickFix، حيث يُطلب من الضحية فتح Terminal ولصق أمر مرمّز بـ Base64، يقوم بصمت بتنزيل وتنفيذ نص برمجي عن بعد.
أما المسار الثاني، فيتمثل في توزيع ملف DMG يحتوي على ملف README، ونصوص تثبيت، واختصار لـ Terminal، مصممة جميعها لتبدو روتينية تمامًا. في كلتا الحالتين، يقوم الضحية بتثبيت البرمجية الخبيثة دون ظهور أي تنبيهات أمنية.
مسارات التوزيع المبتكرة
امتدت شبكة التوزيع لتشمل إنشاء صفحة منتج وهمية لتطبيق خلفيات باسم WallSpace، مع لقطات شاشة احترافية وزر تنزيل مجاني. هذا بالإضافة إلى استغلال قناة YouTube مهجورة للترويج للتطبيق، حيث حصد مقطع فيديو واحد 50,000 مشاهدة في أسبوعين فقط، مما يشير إلى استخدام إعلانات مدفوعة أو تلاعب بمحركات البحث.
التأثير والتخفي: تجاوز آلية الموافقة في macOS
يكمن الخطر الأكبر في notnullOSX في قدرتها على التحايل على نظام أذونات macOS نفسه. في الظروف الطبيعية، تطالب آلية Transparency, Consent, and Control (TCC) بموافقة المستخدم قبل وصول أي تطبيق إلى البيانات المحمية مثل الرسائل والملاحظات وملفات تعريف الارتباط للمتصفحات. لكن notnullOSX تتجاوز ذلك بجعل الضحية يمنحها يدويًا صلاحية الوصول الكامل إلى القرص (Full Disk Access) من خلال إعدادات النظام.
هذه الصلاحية الواحدة تغطي جميع فئات البيانات المحمية مرة واحدة، دون أي مطالبات إضافية. تعمل البرمجية الخبيثة من خلال بنية معيارية، حيث تقوم بتنزيل وحدات منفصلة من خادم القيادة والتحكم (C2) لتنفيذ مهام سرقة البيانات المختلفة.
وحدات السرقة المتخصصة
تشمل الوحدات التي تم تأكيد وجودها: iMessageGrab، AppleNotesGrab، CryptoWalletsGrab، BrowserGrab، TelegramGrab، CredsGrab، و ReplaceApp. وتُعد وحدة ReplaceApp خطيرة بشكل خاص، حيث تستبدل بصمت تطبيق محفظة الأجهزة الشرعي مثل Ledger Live بنسخة مزيفة مصممة لاعتراض عبارات الاسترداد (seed phrases) أثناء عملية الإعداد.
والجدير بالذكر أن notnullOSX تحافظ على اتصال WebSocket مستمر بخادم C2 مستضاف على Firebase، وترسل نبضات قلب منتظمة وتنتظر الأوامر عن بعد، مما يجعلها أقرب إلى حصان طروادة وصول عن بعد (RAT) أكثر من كونها برمجية سرقة بيانات تقليدية.
توصي Moonlock Lab المختصين في الأمن بحظر الاتصالات الصادرة إلى نطاق C2 المعروف، والتنبيه عند منح صلاحية الوصول الكامل إلى القرص لتطبيقات غير معروفة، ومراقبة مجلد /tmp بحثًا عن ملفات Mach-O. أما بالنسبة لمستخدمي Mac وحاملي العملات المشفرة، فالنصيحة واضحة: عدم لصق أوامر Terminal من المتصفح أو المستندات، واعتبار أي تطبيق يطلب الوصول الكامل إلى القرص أثناء التثبيت مريبًا، ومراقبة ~/Library/LaunchAgents/ بحثًا عن أي إدخالات غير مألوفة.