يواجه محترفو تقنية المعلومات والاستخبارات مفتوحة المصدر (OSINT) تهديدًا سيبرانيًا متطورًا جديدًا يتمثل في هجوم سلسلة إمداد يستهدفهم عبر منصة GitHub. تستغل الحملة سمعة المنصة الموثوقة لتوزيع برمجيات خبيثة قادرة على الوصول عن بعد.
يتميز هذا الهجوم بالتخطيط الدقيق، حيث يلجأ المهاجمون إلى تفعيل حسابات مهملة منذ سنوات على GitHub، مستفيدين من سجلها الجيد لتجاوز آليات الكشف. بعد ذلك، يبدأون في نشر مشاريع برمجية تبدو احترافية، غالبًا ما يتم إنشاؤها بواسطة الذكاء الاصطناعي، لتبدو وكأنها أدوات مفيدة.
تمكن محللو شركة Morphisec من رصد هذه الحملة بعد ملاحظة صعود هذه المستودعات الخبيثة إلى قوائم “المتصدرة” على GitHub. هذا الظهور البارز وضع الأدوات الضارة مباشرة أمام المستخدمين التقنيين المستهدفين. بعد اكتساب هذه المستودعات للقاعدة الجماهيرية والثقة، أدخل المهاجمون تعديلات طفيفة تحت مسمى “التحديثات”.
تضمنت هذه التحديثات نوعًا جديدًا من البرمجيات الخبيثة، وهو اختراق (backdoor) مكتوب بلغة JavaScript ومتوافق مع ملفات HTA، والذي أطلق عليه الباحثون اسم “PyStoreRAT”. تهدف هذه الأداة إلى تحقيق استمرارية في النظام المسروق وسرقة البيانات بشكل دائم.
استهداف محترفي تقنية المعلومات بمعدل PyStoreRAT
يعمل PyStoreRAT كحمّال متعدد الأغراض، قادر على جمع معلومات مفصلة عن نظام الضحية ومن ثم نشر حمولات إضافية. ومن أبرز الحمولات التي تم رصدها هو برنامج “Rhadamanthys stealer”، وهو أداة تستخدم لاستخراج المعلومات الحساسة. تعتمد البرمجية الخبيثة أيضًا على الانتشار عبر محركات الأقراص القابلة للإزالة، مما يزيد من نطاق وصولها المحتمل داخل شبكات المؤسسات.
تُعد هذه الحملة مثالاً على التهديدات السيبرانية الموجهة بشكل خاص، حيث تستخدم سمعة منصات موثوقة للوصول إلى الفئات التقنية.
آليات التخفي والبنية التحتية المتكيفة
إحدى الميزات الرئيسية لـ PyStoreRAT هي قدرته على تكييف سلوكه بناءً على بيئة الأمان التي يواجهها. تجري البرمجية الخبيثة فحوصات شاملة للكشف عن وجود برامج مكافحة فيروسات محددة، مثل CrowdStrike Falcon و ReasonLabs. إذا تم اكتشاف هذه الدفاعات، يقوم PyStoreRAT بتغيير أسلوب تنفيذه، والانتقال إلى مسارات تشغيل بديلة لتجنب إطلاق الإنذارات.
بالإضافة إلى ذلك، فإن البنية التحتية لقيادة السيطرة (C2) التي تدعم هذه الحملة مصممة لتكون مرنة. تستخدم مجموعة من العقد المتناوبة التي تسمح بتحديثات سلسة لحمولة البرمجية الخبيثة. هذا الهيكل الدائري يجعل من الصعب على المدافعين إحباط العملية، حيث يمكن للبنية التحتية التحول بسرعة إلى عقد جديدة.
تحتوي الشيفرة المصدرية أيضًا على آثار لغوية، مثل سلاسل نصية باللغة الروسية، مما يشير إلى أصل جغرافي معين أو نطاق استهداف محدد. يوصي الخبراء باستخدام استراتيجيات دفاع قائمة على السلوك لا تعتمد فقط على التواقيع الثابتة للكشف عن هذه التهديدات المتطورة.