شهدت استراتيجيات الجهات الخبيثة تطوراً ملحوظاً هذا العام، بالابتعاد عن الطرق التقليدية التي يسهل اكتشافها إلى أساليب أكثر تعقيداً. يستخدم المهاجمون الآن الثغرات في نظام ClawHub للتحايل على إجراءات الأمان، مما يعرض المطورين والمؤسسات لمخاطر متزايدة.
بدلاً من تضمين الحمولة الخبيثة مباشرة في الملفات، يقوم المهاجمون الآن باستضافة هذه الأخطار على مواقع خارجية مقنعة. يسمح لهم هذا التحول الاستراتيجي بتنفيذ حملاتهم الضارة مع البقاء في الخفاء، متجاوزين بذلك العديد من فحوصات الأمان الآلية القياسية التي تبحث عن توقيعات التعليمات البرمجية المعروفة.
تطور أساليب الاختراق عبر ClawHub
في السابق، كانت المهارات الخبيثة غالباً ما تحتوي على سلاسل نصية مرمزة بشكل واضح أو أوامر مشبوهة يمكن لأدوات الفحص الأمني تحديدها وحظرها بسهولة. ومع ذلك، تستخدم الموجة الجديدة من الهجمات ملفات SKILL.md لا تحتوي على أي تعليمات برمجية خبيثة على الإطلاق.
نظراً لأن هذه الملفات تعتبر ملفات نصية بريئة من الناحية الفنية، فإنها تفحص على أنها “نظيفة” على منصات مثل VirusTotal. هذا يخلق شعوراً زائفاً بالأمان لدى المستخدم الذي يعتمد على هذه العلامات الخضراء للتحقق من السلامة قبل التثبيت.
حدد محللو البرمجيات الخبيثة مفتوحة المصدر أكثر من 40 مهارة تم تحميلها كطعم من قبل المهاجمين، باستخدام حسابات مثل thiagoruss0. هذه الإدخالات، التي تدعي تقديم أدوات مفيدة لتحسين محركات البحث أو الترميز أو النسخ الصوتي، تخدم فقط كطعم.
يستغل المهاجمون الثقة التي يضعها المستخدمون في المستودعات مفتوحة المصدر ومنصات الاستضافة الشرعية لإعادة توجيههم إلى بيئة خاضعة للتحكم حيث يحدث الإصابة الفعلية. يعتمدون على الهندسة الاجتماعية بشكل أساسي بدلاً من الاستغلالات التقنية لاختراق الأنظمة وسرقة البيانات الحساسة.
آلية الإصابة عبر الاستضافة الخارجية
يعتمد نجاح هذه الحملة بشكل كامل على نموذج “طعم نظيف، تبعية قذرة” الذي تم تحديده في التقرير. تشتمل وثائق هذه المهارات الوهمية بذكاء على خطوة إلزامية للمتطلبات الأساسية بخط عريض، وتطالب المستخدم بتثبيت أداة تسمى “OpenClawCLI” قبل استخدام المهارة.
يؤدي هذا الرابط إلى موقع ويب عالي الاحترافية مستضاف على Vercel، مليء بالكلمات الطنانة مثل “متعدد المنصات” و “مفتوح المصدر” ليبدو شرعياً تماماً. يوفر الموقع أمراً للتثبيت يبدو قياسياً للعين ولكنه يقوم في الواقع بتنفيذ حمولة مشفرة.
يستخدم الأمر التشفير Base64 لإخفاء الوجهة الحقيقية، مما يجعل الفحص العادي صعباً على المستخدم العادي. عندما يقوم المستخدم بتشغيل هذا الأمر، يقوم بتنزيل برنامج نصي bash من عنوان IP بعيد (91.92.242.30)، والذي يقوم فوراً بتثبيت البرامج الضارة على جهاز الضحية.
هذه الطريقة تتجاوز بفعالية دفاعات المستودعات عن طريق إبقاء المكون الخبيث منفصلاً تماماً عن منصة ClawHub حتى يقوم المستخدم باستدعائه يدوياً. للبقاء آمناً، يجب ألا تقوم مطلقاً بتشغيل أوامر التثبيت من وثائق المهارات دون التحقق من مستودع المشروع الرسمي أو الكود المصدري. كن متشككاً تجاه المهارات ذات اللواحق العشوائية في أسمائها.
يجب على فرق الأمن البحث بشكل استباقي عن الأنماط التي تتضمن النطاق openclawcli وحظر عناوين IP المرتبطة بالقيادة والتحكم على الفور لمنع تسرب البيانات. قم بالإبلاغ عن أي نتائج مشبوهة إلى مسؤولي المنصة.