PyInstaller هي أداة شائعة تستخدم عادةً لتغليف تطبيقات بايثون في ملفات تنفيذية مستقلة. تُستخدم بشكل شرعي من قبل المطورين، لكن مؤخراً لاحظ خبراء الأمن تحولاً خطيراً في استخدامها.
تفاصيل الهجوم الجديد:
آلية العمل:
-
يقوم المهاجمون بتغليف أكواد بايثون الخبيثة في ملفات تنفيذية لنظام macOS (Mach-O)
-
يتم توقيع العينات رقمياً بشكل مؤقت (ad-hoc signed) لتجاوز الحماية الأساسية
-
لا تتطلب هذه الملفات وجود بايثون مثبتاً على الجهاز أو توافق إصدارات معينة
البرمجيات الخبيثة المستهدفة:
-
برامج سرقة البيانات (Infostealers) التي تسعى لسرقة:
-
كلمات المرور
-
ملفات تعريف الارتباط (cookies)
-
بيانات المحافظ الرقمية
-
المعلومات الشخصية الحساسة
-
لماذا يعتبر هذا الهجوم مقلقاً؟
الجوانب المميزة:
التمويه الفعال: استخدام أدوات تطوير شرعية يخفي النشاط الخبيث
تجاوز الحماية: التوقيع الرقمي المؤقت يخدع آليات الأمان الأساسية
الانتشار السهل: لا حاجة لاعتماديات إضافية لتشغيل الملف الخبيث
رد فعل شركة Jamf للأمن:
صرحت Jamf – المتخصصة في أمن أنظمة Apple – أن هذه أول مرة يتم فيها توثيق استخدام PyInstaller لنشر برامج سرقة بيانات على أنظمة macOS، رغم أن استخدام هذه الأداة في هجمات أخرى ليس بالأمر الجديد.
نصائح أمنية لحماية أجهزة ماك:
للشركات:
تطبيق سياسات صارمة لتشغيل التطبيقات (Allowlist)
استخدام حلول أمنية متخصصة لأنظمة macOS
مراقبة أنشطة البرامج الموقعة بتوقيع مؤقت
للأفراد:
التحقق من مصدر أي برنامج قبل تثبيته
تجنب تشغيل ملفات غير معروفة المصدر
تحديث النظام والبرامج بانتظام
الأثر المحتمل:
مع تزايد شعبية أجهزة ماك في البيئات المؤسسية، يتوقع خبراء الأمن:
زيادة الهجمات المستهدفة لأنظمة macOS
تطور أساليب أكثر تعقيداً لتجاوز الحماية
تركيز أكبر من الباحثين على تهديدات منصة آبل
