يواجه مطورو البرمجيات مفتوحة المصدر تهديدًا متزايدًا ومتطورًا، لا يعتمد على اختراقات معقدة أو ثغرات مخفية، بل على الثقة. تتعرض هذه المجتمعات حاليًا لحملة هندسة اجتماعية تستهدف المطورين عبر منصات التواصل، حيث ينتحل المهاجمون شخصية قادة موثوقين في مؤسسات مثل “مؤسسة لينكس” لخداع الضحايا وتشجيعهم على تنزيل برامج ضارة.
جاء أول تنبيه عام حول هذه الحملة في 7 أبريل 2026، عبر قائمة بريدية لمنظمة “OpenSSF Siren”، حيث قام كريستوفر روبنسون، كبير مسؤولي التكنولوجيا والهندسة الأمنية في مؤسسة أمن المصادر المفتوحة (OpenSSF)، بكشف تفاصيلها. تركزت الحملة بشكل خاص على مساحة عمل “TODO Group” على منصة سلاك، وهي مجموعة عمل تابعة لمؤسسة لينكس تركز على مكاتب برامج المصادر المفتوحة (OSPO)، بالإضافة إلى مجتمعات أخرى مشابهة.
حملة انتحال شخصيات تستهدف مطوري المصادر المفتوحة
قام المهاجمون بإنشاء هوية مزيفة لقائد معروف في مجتمع مؤسسة لينكس، واستخدموا هذه الشخصية لإرسال رسائل خاصة تحتوي على رابط تصيد احتيالي مستضاف على Google Sites، وهي منصة يعتبرها العديد من المطورين جديرة بالثقة. تم تصميم الرابط بعناية ليبدو شرعيًا، مما يجعل من الصعب على المطورين، حتى المتمرسين أمنيًا، اكتشاف الخداع.
أشرف محللو Socket.dev وأحد مهندسي الشركة على فحص الهجوم وتوثيق سلوكه التقني. وأكدت تحقيقاتهم أن هذه لم تكن مجرد محاولة تصيد بسيطة، بل كانت عملية مدروسة ومتعددة المراحل مصممة لاستغلال الثقة العميقة الموجودة بشكل طبيعي داخل مجتمعات المصادر المفتوحة المتماسكة.
كانت الرسالة التي استخدمها المهاجم مفصلة بعناية. متقمصًا دور قائد مؤسسة لينكس، وصف المهاجم أداة ذكاء اصطناعي خاصة وحصرية قادرة على تحليل ديناميكيات مشاريع المصادر المفتوحة والتنبؤ بالمساهمات البرمجية التي سيتم قبولها قبل مراجعة أي شخص لها. شددت الرسالة على التفرد، موجهةً الضحايا بأن الفريق “يشارك هذا مع عدد قليل من الأشخاص فقط في الوقت الحالي”. بالإضافة إلى رابط التصيد، أدرج المهاجم عنوان بريد إلكتروني وهمي ومفتاح وصول لجعل تدفق مساحة العمل المزيفة يبدو واقعيًا.
بمجرد أن انقر الضحية على الرابط، قام تدفق مصادقة احتيالي بجمع عنوان بريده الإلكتروني ورمز التحقق. بعد سرقة بيانات الاعتماد، وجه موقع التصيد الضحايا لتثبيت ما أسماه “شهادة Google”، والتي كانت في الواقع شهادة جذرية خبيثة. بمجرد تثبيتها، سمحت هذه الشهادة للمهاجم باعتراض حركة مرور الويب المشفرة بصمت بين جهاز الضحية وأي موقع يزورونه، مما يمهد الطريق للجزء الأكثر ضررًا من الهجوم، والذي انقسم بعد ذلك إلى مسارات مختلفة بناءً على نظام تشغيل الضحية.
آلية الإصابة المعقدة
يكشف السلوك الخاص بالمنصة لهذا الهجوم عن مدى دقته في الهندسة. على نظام macOS، بمجرد تثبيت الشهادة الجذرية الخبيثة، قام سكريبت بتنزيل وتنفيذ ملف ثنائي اسمه gapi تلقائيًا من عنوان IP بعيد (2.26.97.61). يمنح تشغيل هذا الملف الثنائي للمهاجم سيطرة كاملة محتملة على الجهاز المخترق، بما في ذلك القدرة على الوصول إلى الملفات، وسرقة بيانات اعتماد إضافية، وإصدار أوامر إضافية عن بُعد.
على نظام Windows، تم توجيه الضحايا لتثبيت الشهادة الخبيثة من خلال حوار وثوق المتصفح. بمجرد قبوله، سمح ذلك باعتراض حركة المرور المشفرة بنفس الطريقة. عبر كلا النظامين، اتبع الهجوم الكامل أربع مراحل واضحة: انتحال الشخصية، والتصيد الاحتيالي، وحصاد بيانات الاعتماد، وتسليم البرامج الضارة. كل خطوة بنت على سابقتها لتعميق الاختراق في بيئة الضحية.
تتضمن توصيات OpenSSF للمطورين النشطين في مجتمعات سلاك مفتوحة المصدر عدة نقاط هامة. ينصح دائمًا التحقق من الهويات خارج القناة الرسمية – لا تثق أبدًا في رسالة سلاك بناءً على اسم العرض أو صورة الملف الشخصي وحده، وقم بتأكيد الطلبات غير العادية عبر قناة اتصال منفصلة ومعروفة قبل اتخاذ أي إجراء. لا تقم أبدًا بتثبيت شهادة جذرية من رابط مرسل عبر رسالة دردشة أو بريد إلكتروني؛ الخدمات الشرعية لا تطلب ذلك من المستخدمين. تعامل مع أي مطالبة من هذا القبيل على أنها مشبوهة ما لم يوجهك قسم تكنولوجيا المعلومات في مؤسستك صراحةً للقيام بذلك. أخيرًا، قم بتمكين المصادقة متعددة العوامل (MFA) على جميع حسابات المطورين وحسابات التعاون. لن تمنع MFA انتحال الشخصية، لكنها تحد بشكل كبير من الضرر في حالة سرقة بيانات الاعتماد.
مؤشرات الاختراق (IoCs):
- رابط التصيد الاحتيالي:
https://sites.google.com/view/workspace-business/join - عنوان البريد الإلكتروني المزيف:
[email protected] - مفتاح الوصول:
CDRX-NM71E8T - عنوان IP الخاص بالتحكم والقيادة عن بعد:
2.26.97.61 - الملف الثنائي الخبيث لنظام macOS:
gapi