كشف تقرير أمني جديد عن انتشار برمجية خبيثة لسرقة البيانات تُعرف باسم BoryptGrab، وتنتشر ببطء عبر أنظمة ويندوز من خلال شبكة من مستودعات GitHub المزيفة، حيث تخدع المستخدمين لتحميل أدوات تبدو بريئة. يأتي هذا الاكتشاف ليُسلط الضوء على التكتيكات المتطورة التي يستخدمها المهاجمون السيبرانيون لاستهداف أكبر عدد ممكن من الضحايا.
تُعد برمجيات سرقة البيانات، مثل BoryptGrab، تهديدًا خطيرًا في المشهد الرقمي الحالي، حيث يمكنها اختراق المعلومات الحساسة للمستخدمين. يتميز هذا النوع من البرمجيات بقدرته على جمع بيانات متنوعة، مما يجعله ذا قيمة عالية للمجرمين الإلكترونيين.
BoryptGrab: برمجية خبيثة جديدة تنتشر عبر GitHub المزيف
بدأت الحملة التي تستخدم BoryptGrab في الانتشار منذ أبريل 2025 على الأقل، حيث تستغل تلاعب محركات البحث لجعل مستودعات GitHub الخبيثة تبدو شرعية. يهدف هذا التكتيك إلى جذب المستخدمين المطمئنين إلى سلسلة إصابة مُعدة بعناية، تنتهي بإرسال البيانات الشخصية بصمت إلى المهاجم.
من جانبها، قامت شركة Trend Micro بتتبع هذه الحملة بعد اكتشاف ملفات ZIP مشبوهة، وتمكنت من رسم سلسلة الإصابة الكاملة وصولاً إلى الصفحات المستضافة على GitHub. وقد كشف التحقيق عن عملية واسعة النطاق تضم عدة مكونات وبرمجيات خبيثة مختلفة، بما في ذلك أسماء داخلية مثل “Shrek” و “Sonic” و “Yaropolk” و “CryptoByte”، مما يشير إلى وجود جهة منظمة تعمل بجد على تطوير هذه البرمجية.
آلية عمل BoryptGrab
تقوم برمجية BoryptGrab بجمع مجموعة واسعة من البيانات الحساسة. يشمل ذلك جمع بيانات الاعتماد وملفات تعريف الارتباط من العديد من المتصفحات الشائعة مثل Google Chrome، Mozilla Firefox، Microsoft Edge، Opera، Brave، و Yandex Browser.
علاوة على ذلك، تستهدف البرمجية أكثر من 30 تطبيقًا للمحافظ الرقمية المشفرة على سطح المكتب وإضافات المحافظ داخل المتصفحات، بما في ذلك Exodus، Electrum، Ledger Live، Atomic، و Trezor Suite. وتُعد هذه القدرة على استهداف محافظ العملات المشفرة مصدر قلق خاص نظرًا للقيمة العالية للأصول التي قد يتم سرقتها.
بالإضافة إلى ذلك، تقوم البرمجية بالتقاط لقطات شاشة، وجمع ملفات Telegram، ورموز Discord، وملفات النظام الشائعة، ومعلومات المستخدم. ثم تقوم بتجميع كل هذه البيانات في أرشيف وإرسالها بصمت إلى خادم يتحكم فيه المهاجم.
TunnesshClient: المكون الخلفي الجديد
من الجوانب المقلقة لهذه الحملة هو تضمين TunnesshClient، وهو برنامج خلفي يصل عبر ملف تنفيذي مكتوب بلغة PyInstaller. يقوم هذا المكون بإنشاء نفق SSH عكسي إلى خادم المهاجم، مما يسمح بالتحكم الكامل عن بعد. من خلال هذا النفق، يمكن للمهاجم تنفيذ أوامر shell عن بعد، وتصفح الملفات ونقلها من جهاز الضحية، واستخدام الجهاز المخترق كخادم بروكسي SOCKS5.
تشير التعليقات المكتوبة باللغة الروسية الموجودة في الشيفرة المصدرية للبرمجيات الخبيثة، بالإضافة إلى عناوين IP المرتبطة بروسيا، إلى أن المهاجمين المحتملين ينشطون من هناك، مما يزيد من تعقيد تتبعهم.
تفاصيل آلية الإصابة بـ BoryptGrab
تبدأ الإصابة عندما يقوم الضحية بتحميل ملف ZIP من أحد صفحات GitHub المزيفة. ملف index.htm في الصفحة يحتوي على تعليقات باللغة الروسية ويعيد توجيه المتصفح إلى صفحة home.html، والتي تقوم بفك تشفير رابط مشفر بـ base64 وإعادة توجيه المستخدم إلى صفحة تنزيل وهمية أخيرة.
هذه الصفحة تقوم ديناميكيًا بإنشاء وتقديم ملف ZIP الخبيث المُعد خصيصًا لزيارة الضحية. يمكن أن يتخذ برنامج الإسقاط الخاص بالمهاجم داخل ملف ZIP أحد عدة أشكال. في أحد المتغيرات الشائعة، يتم تحميل ملف DLL خبيث (libcurl.dll) جانبياً بواسطة ملف تنفيذي يبدو شرعيًا، ويقوم هذا الملف بفك تشفير حمولة مشغلة مضمنة باستخدام عمليات XOR و AES-CBC قبل الاتصال بخادم المهاجم لجلب ثنائي BoryptGrab.
في متغير آخر، يستخدم نص VBS أوامر PowerShell مشفرة لتنزيل الحمولة، وفي نفس الوقت يضيف استثناءات لبرنامج Windows Defender لمنع برامج الأمان من اكتشاف الملفات الخبيثة. بمجرد التشغيل، تتحقق BoryptGrab أولاً من بيئات الأجهزة الافتراضية عن طريق فحص إدخالات التسجيل ومسارات ملفات نظام معينة، مما يسمح لها بتجنب التنفيذ في صناديق التحليل الأمني.
التبعات والتوصيات
تُعد هذه الحملة تذكيرًا صارخًا بخطورة البرمجيات الخبيثة التي تستغل الثقة في المنصات المعروفة مثل GitHub. وتُبرز ضرورة التحقق دائمًا من مصدر البرامج قبل تنزيلها أو تشغيلها.
يُنصح المستخدمون بتنزيل البرامج فقط من مصادر رسمية وموثوقة، وتجنب تنزيل الأدوات المجانية من مستودعات GitHub غير المعروفة. كما يجب على فرق الأمن مراقبة المهام المجدولة غير المتوقعة، والتغييرات المفاجئة في استثناءات Windows Defender، وحركة المرور الصادرة غير العادية إلى خوادم غير معروفة. إن ضمان تحديث أدوات أمان نقطة النهاية والتحقق من تنزيلات البرامج سيقلل بشكل كبير من التعرض للحملات من هذا النوع.