كشفت تقارير أمنية حديثة عن حملة سيبرانية تستغل مستودعات GitHub المزيّفة لنشر برمجيات خبيثة، حيث يتم تقديمها على أنها مشاريع شرعية تشمل أدوات لاختراق الألعاب، وتفعيل البرامج المقرصنة، وأدوات أتمتة مختلفة. إلا أن هذه المستودعات تحتوي على أداة خبيثة تُعرف باسم SmartLoader تعمل كوسيط لتحميل برمجيات أكثر خطورة مثل Rhadamanthys، أحد أشهر برمجيات سرقة المعلومات.
استهداف المستخدمين عبر محركات البحث والمواقع الوهمية
تقوم الحملة باستهداف مستخدمين يبحثون عبر محركات البحث عن أدوات لتحميل مقاطع الفيديو من منصات مثل يوتيوب بشكل مجاني. وعند دخولهم إلى مواقع وهمية مثل YTMP4، يظهر لهم زر “Download Now” الذي يؤدي إلى تنزيل برمجيات خبيثة مثل DigitalPulse Proxyware عبر ملفات تنفيذية مستضافة على GitHub. هذه البرمجيات تتيح للقراصنة استخدام موارد جهاز الضحية لخدمة أغراض خفية مثل التعدين أو الاتصالات عبر بروكسي.
استغلال الإعلانات المموّلة لخداع المستخدمين
لم تقتصر الحملة على GitHub والمواقع الوهمية فحسب، بل امتدت إلى منصات التواصل الاجتماعي، حيث يتم استخدام إعلانات على فيسبوك لإعادة توجيه المستخدمين إلى صفحات هبوط مزيّفة تحاكي منصات تداول العملات الرقمية مثل Binance. وعند تحميل التطبيقات المزوّرة يتم زرع برمجيات خبيثة تهدف إلى سرقة بيانات الدخول والمحافظ الرقمية للمستخدمين.
ارتباط النشاط بعنقود تهديد WEEVILPROXY
أشارت التحليلات إلى أن هذه الأنشطة تتقاطع مع مجموعة تهديد معروفة باسم WEEVILPROXY، والتي اشتهرت باستخدام تقنيات متعددة لخداع المستخدمين ونشر برمجيات ضارة عبر قنوات مختلفة تشمل المستودعات المفتوحة والإعلانات الرقمية والمواقع الاحتيالية.
