كشفت تقارير أمنية حديثة عن نشاط جديد لجهة تهديد غير موثّقة سابقًا تُعرف باسم Mocha Manakin ، حيث تم ربطها بسلسلة من الهجمات التي تستغل أداة الدخول الأولى المعروفة باسم ClickFix ، والمعروفة أيضًا بأسماء مثل “Paste and run” أو “fakeCAPTCHA”، لتثبيت باب خلفي مخصص مكتوب بلغة Node.js ويُطلق عليه اسم NodeInitRAT.
غالبًا ما يتم تمرير البيانات من خلال نفق Cloudflare
ووفقًا لشركة الأمن السيبراني Red Canary ، فإن هذا الباب الخلفي يُمكّن المهاجم من ترسيخ وجوده في النظام المستهدف، والقيام بأنشطة استطلاعية مثل استخراج أسماء الحسابات الأساسية وجمع تفاصيل عن نطاق الشبكة. ويتواصل NodeInitRAT مع خوادم خاضعة لسيطرة الجهة المهاجمة عبر بروتوكول HTTP، وغالبًا ما يتم تمرير البيانات من خلال نفق Cloudflare كوسيط لإخفاء مسارات الاتصال.
يحتوي الباب الخلفي على قدرات تنفيذ أوامر عشوائية ونشر حمولات خبيثة إضافية على الأنظمة المصابة. وتم رصد هذا الكيان لأول مرة في يناير 2025، وتشير التقييمات إلى أن البرمجية الخبيثة تشترك في خصائص مع أداة مستخدمة سابقًا في هجمات برنامج الفدية Interlock.
خلفية تقنية
ClickFix تُعد من الأدوات الشائعة في حملات الهندسة الاجتماعية، حيث تعتمد على خداع المستخدم لتنفيذ تعليمات برمجية ضارة يدويًا. ومع تزايد استخدام تقنيات مثل Node.js في بناء أدوات هجومية مخصصة، بات من الواضح أن الجهات المهاجمة تركز على المرونة والقدرة على التخفي أثناء التواصل مع بنيتها التحتية.
