كشف باحثون في الأمن السيبراني عن حملة خبيثة تستخدم موقع SourceForge – وهو من أشهر منصات استضافة البرمجيات مفتوحة المصدر – لنشر برمجيات تعدين العملات المشفرة (Cryptocurrency Miner) وبرمجيات Clipper تحت غطاء برامج مقرصنة مثل Microsoft Office.
وذكرت شركة Kaspersky في تقرير حديث أن مشروعًا يُدعى officepackage على الموقع الرسمي sourceforge.net يبدو للوهلة الأولى مشروعًا مشروعًا بريئًا يحتوي على إضافات Office مأخوذة من مشروع شرعي على GitHub، إلا أن التفاصيل المعروضة والروابط المخفية تشير إلى نوايا خبيثة.
خداع المستخدمين عبر واجهة زائفة
رغم تخصيص نطاق فرعي لكل مشروع على SourceForge (مثل <project>.sourceforge.io)، إلا أن نطاق officepackage.sourceforge[.]io يعرض قائمة طويلة من تطبيقات Microsoft Office وروابط لتحميلها باللغة الروسية.
وعند تمرير المؤشر فوق زر التنزيل، تظهر للمستخدم رابط شرعي ظاهريًا مثل:loading.sourceforge[.]io/download
لكن عند النقر، يتم إعادة التوجيه إلى موقع خارجي هو taplink[.]cc يعرض زر تحميل آخر.
سلسلة العدوى الخبيثة
عند الضغط على زر التنزيل الثاني، يُحمَّل ملف مضغوط بحجم 7 ميغابايت يُدعى vinstaller.zip، يحتوي على:
-
أرشيف آخر محمي بكلمة مرور (
installer.zip) -
ملف نصي يحتوي على كلمة المرور
-
مثبت MSI
-
أداة أرشفة (UnRAR.exe)
-
ملف RAR
-
سكريبت بلغة VB
السكريبت VB يقوم بتشغيل PowerShell لتحميل ملف باتش (batch) باسم confvk من GitHub، والذي بدوره يفك تشفير محتويات الأرشيف، ويشغّل السكريبتات الخبيثة التالية:
-
سكريبت PowerShell يُرسل بيانات الجهاز إلى المهاجم عبر Telegram API
-
سكريبت آخر يُحمّل ملف باتش إضافي يتولى تفعيل برمجية ClipBanker وبرنامج التعدين
كما يتم إسقاط ملف تنفيذي باسم ShellExperienceHost.exe (وهو نسخة من أداة Netcat) لإنشاء اتصال مشفّر بخادم بعيد.
التركيز على المستخدمين الناطقين بالروسية
تشير واجهة الموقع باللغة الروسية إلى أن الحملة تستهدف المستخدمين الناطقين بالروسية، حيث أظهرت بيانات التتبع أن 90% من الضحايا المحتملين يتواجدون في روسيا، وأكثر من 4,600 مستخدم واجهوا هذا الهجوم بين يناير ومارس 2025.
تستغل الحملة محركات البحث مثل Yandex، حيث يتم فهرسة الصفحات المزيفة وإظهارها في نتائج البحث، ما يزيد فرص الوقوع في الفخ.
“كلما بحث المستخدمون عن طرق بديلة لتحميل البرامج خارج المصادر الرسمية، وجد المهاجمون فرصتهم”، بحسب Kaspersky.
“ورغم أن الهجوم يستهدف بالأساس العملات المشفرة، إلا أن الوصول إلى الأجهزة المخترقة يمكن بيعه لأطراف أكثر خطورة.”
هجمات موازية: TookPS وتروجان TeviRat
بجانب هذه الحملة، كشفت Kaspersky أيضًا عن حملة خبيثة أخرى تقوم بنشر أداة تحميل برمجيات ضارة تُعرف باسم TookPS عبر مواقع مزيّفة تدّعي أنها توفر:
-
روبوت الذكاء الاصطناعي DeepSeek
-
أدوات التحكم عن بعد (Remote Desktop)
-
برامج النمذجة ثلاثية الأبعاد (3D Modeling)
ويتم توجيه الضحايا إلى مواقع مثل deepseek-ai-soft[.]com من خلال إعلانات Google الممولة.
TookPS: السيطرة الكاملة على الجهاز
تقوم TookPS بتحميل وتنفيذ سكريبتات PowerShell تُمنح المهاجم وصولًا عن بعد عبر SSH، وتُسقط إصدارًا معدّلاً من تروجان TeviRat.
يتم أيضًا استغلال خاصية DLL Sideloading لتحميل برنامج TeamViewer مع مكتبة خبيثة تعمل على تعديل سلوك البرنامج وإخفائه، مما يمنح المهاجم تحكمًا خفيًا بالجهاز دون علم الضحية.
إعلانات Google الخبيثة: وسيلة جديدة لنشر البرمجيات الضارة
اكتُشف كذلك استخدام إعلانات Google المزيفة لنشر نسخ معدّلة من أدوات مشهورة مثل RVTools الخاصة بإدارة VMware، حيث تم زرع أداة تحكم عن بُعد تعرف باسم ThunderShell (المعروفة أيضًا باسم SmokedHam).
تُعد ThunderShell أداة تحكم وسيطرة (C2) مفتوحة المصدر تُستخدم عادة في اختبارات الاختراق والهجمات المتقدمة، وتعتمد على PowerShell Agent لتنفيذ الأوامر داخل الأجهزة المصابة.
