كشف باحثون أمنيون عن برمجية خبيثة خطيرة تعتمد على لغة بايثون، تُعرف باسم VIPERTUNNEL، تتسلل بهدوء إلى شبكات الشركات. تستغل هذه البرمجية ملف DLL وهمي وتستخدم طبقات متعددة من التعمية لإخفاء وجودها.
تُنشئ VIPERTUNNEL نفق بروكسي SOCKS5 يتصل بخادم قيادة وتحكم خارجي، مما يمنح المهاجمين وصولاً مستمراً وخفياً داخل البيئات المخترقة.
كيفية عمل VIPERTUNNEL؟
تبدأ عملية الاختراق بجدولة مهمة على جهاز الضحية، مصممة لتشغيل مترجم بايثون شرعي المظهر، وهو pythonw.exe، من مجلد C:ProgramDatacp49s دون أي وسيطات سطر أوامر.
بدلاً من توجيه المهاجمين إلى نص برمجي مباشر، قاموا بتعديل ملف بدء تشغيل بايثون يسمى sitecustomize.py. يتم تحميل هذا الملف تلقائيًا في كل مرة يبدأ فيها مترجم بايثون.
الكشف عن البرمجية الخبيثة
اكتشف محللو InfoGuard Labs، بقيادة الباحث إيفجين بلوهم، برمجية VIPERTUNNEL أثناء استجابة لحادث تشفير في أوائل عام 2026. ظهرت البرمجية الخبيثة بعد تدقيق للمثابرة، حيث لاحظ المحللون مهمة مجدولة غير عادية تسمى 523135538 والتي كانت تشغل pythonw.exe دون وسيطات.
أدى الفحص الدقيق إلى الكشف عن ملف sitecustomize.py المعدل. استخدم هذا الملف مكتبة ctypes في بايثون لاستدعاء واجهة برمجة التطبيقات Py_GetArgcArgv، للتحقق من عدم وجود إدخال سطر أوامر، ثم قام بتحميل ملف باسم b5yogiiy3c.dll بصمت عبر وحدة runpy في بايثون.
هذا الملف ليس DLL حقيقيًا، بل هو نص برمجي بلغة بايثون تم إعطاؤه امتداد DLL، وهي خدعة بسيطة لخداع المحللين وأنظمة المسح الأمني.
التعمية المعقدة ومحتوى SOCKS5
تتم حماية الحمولة الفعلية داخل هذا الملف بواسطة ثلاث طبقات من التعمية. تستخدم البرمجية الخبيثة ترميز Base85، وتشفير AES و ChaCha20، وتسوية تدفق التحكم لجعل الهندسة العكسية بطيئة وصعبة.
كل طبقة تقوم بفك تشفير الطبقة التالية وتمرير التنفيذ في الذاكرة، مما يحافظ على الحمولة النهائية بعيدًا عن القرص في جميع الأوقات.
النتيجة هي برمجية اختراق SOCKS5 كاملة تعمل بالكامل. تتصل هذه البرمجية خارجيًا عبر المنفذ 443، وهو نفس المنفذ المستخدم لـ HTTPS، مما يسمح لها بالاندماج مع حركة مرور الويب العادية وتجنب الكشف.
ربط VIPERTUNNEL بمجموعات تهديد معروفة
تم ربط الحملة بمجموعات التهديد المعروفة UNC2165 و EvilCorp، حيث تم نشر VIPERTUNNEL كأداة وصول مستمر ومحور للشبكات. اكتشف فريق البحث عن التهديدات في InfoGuard Labs أيضًا أن نفس إطار عمل التعمية يُستخدم لتوزيع ShadowCoil، وهو برنامج سرقة بيانات الاعتماد الذي يعتمد على بايثون ويستهدف متصفحات Chrome و Edge و Firefox.
يبدو أن كلتا الأداتين تشتركان في أداة تعبئة خاصة، ويعتبر نمط التعمية المشترك وحده مؤشرًا قويًا على العمليات المستمرة لهذه المجموعة من التهديدات.
آلية الهجوم والجهود المبذولة لمكافحته
بمجرد أن يقوم sitecustomize.py بتشغيل ملف DLL الوهمي، يبدأ برنامج التحميل في معالجة كتلة مشفرة ذات إنتروبيا عالية مخزنة في نهاية الملف. تمر هذه الكتلة عبر روتين فك تشفير مخصص يستخدم تسوية تدفق التحكم، مما يجبر المحللين على تتبع كل انتقال يدويًا بدلاً من قراءة التعليمات البرمجية من البداية إلى النهاية.
تتطلب الجهود المبذولة للكشف عن هذه البرمجية الخبيثة مراقبة استدعاءات pythonw.exe غير المعتادة عبر المهام المجدولة. كما يجب على فرق الأمن مراجعة ملفات sitecustomize.py الموجودة خارج مسارات تثبيت بايثون الافتراضية.
يمكن أن يساعد حظر اتصالات العمليات التي تستخدم بايثون بالاتصالات الخارجية غير المتوقعة على المنفذ 443 في تقليل نشاط الأنفاق. توفر قواعد YARA التي تستهدف أسماء الفئات Wire و Relay و Commander، بالإضافة إلى معرف الخطأ ConnectionTimeoutOccuredError، تغطية كشف قوية عبر جميع متغيرات VIPERTUNNEL المعروفة.