يرصد باحثو الأمن السيبراني نشاطًا خبيثًا يستغل مستودعات GitHub العامة لاستضافة حمولات ضارة يتم توزيعها عبر برمجية Amadey، وذلك ضمن حملة تم رصدها في أبريل 2025. وأفاد باحثا Cisco Talos، كريس نيل وكريغ جاكسون، أن مشغلي خدمات البرمجيات الخبيثة كخدمة (MaaS) أنشأوا حسابات وهمية على GitHub لاستضافة البرمجيات الضارة والإضافات الخاصة بـ Amadey، على الأرجح بهدف تجاوز أنظمة الفلترة الإلكترونية وسهولة الوصول.
ويستند هذا النشاط إلى سلسلة هجمات تعتمد على مُحمّل برمجي يُعرف باسم Emmenhtal (أو PEAKLIGHT)، والذي يُستخدم لتثبيت Amadey، الذي يقوم بدوره بتنزيل حمولات مخصصة من مستودعات GitHub يديرها المهاجمون.
أوجه التشابه مع حملات خبيثة سابقة
تتشابه هذه الحملة تكتيكيًا مع حملة تصيّد بالبريد الإلكتروني رُصدت في فبراير 2025 استهدفت كيانات أوكرانية، حيث تم توزيع SmokeLoader باستخدام Emmenhtal تحت غطاء فواتير مزيفة. ويُشار إلى أن كلًا من Emmenhtal وAmadey يعملان كأدوات تحميل لبرمجيات ضارة ثانوية مثل سارقي المعلومات، وإن كان Amadey قد استُخدم في السابق أيضًا لنشر برمجيات الفدية مثل LockBit 3.0.
وتكمن الفروقات بين البرمجيتين في قدرة Amadey على جمع معلومات النظام وتوسيع وظائفه من خلال إضافات DLL تتيح له تنفيذ مهام محددة مثل سرقة بيانات الاعتماد أو التقاط لقطات الشاشة.
تفاصيل الحملة وتوظيف GitHub
كشفت تحليلات Cisco Talos عن استخدام ثلاث حسابات GitHub — وهي Legendary99999 وDFfe9ewf وMilidmdds — لاستضافة إضافات Amadey، وحمولات ضارة ثانوية، ونصوص هجوم خبيثة مثل Lumma Stealer وRedLine Stealer وRhadamanthys Stealer. وقد قامت GitHub لاحقًا بإزالة هذه الحسابات.
وتم العثور على ملفات JavaScript في المستودعات تتطابق مع سكريبتات Emmenhtal المستخدمة في حملة SmokeLoader، مع اختلاف في نوع الحمولة النهائية. إذ تُستخدم ملفات Emmenhtal هنا لتوزيع Amadey وAsyncRAT، وحتى نسخة شرعية من تطبيق PuTTY.exe. كما تم العثور على سكريبت Python يُعتقد أنه يمثل تطورًا لبرمجية Emmenhtal، ويتضمن أمر PowerShell مضمنًا لتحميل Amadey من عنوان IP ثابت.
ويُرجح أن الحسابات المستخدمة على GitHub ما هي إلا جزء من عملية MaaS أوسع نطاقًا تستغل منصة استضافة الشيفرات التابعة لمايكروسوفت لأغراض خبيثة.
حملة SquidLoader تستهدف مؤسسات مالية
تزامن هذا الكشف مع إعلان Trellix عن حملة تصيّد خبيثة جديدة تستخدم مُحمّل برمجي يُعرف باسم SquidLoader، وتستهدف مؤسسات الخدمات المالية في هونغ كونغ. وتشير أدلة إضافية إلى احتمال توسع الهجمات لتشمل سنغافورة وأستراليا.
ويُعد SquidLoader تهديدًا معقدًا بفضل اعتماده على تقنيات متقدمة لتفادي التحليل ومكافحة بيئات الرمل ومضادات التصحيح، مما يمنحه القدرة على التهرب من أنظمة الكشف التقليدية. ويمكن لـ SquidLoader التواصل مع خادم بعيد لإرسال معلومات الجهاز المصاب وحقن الحمولة التالية، التي تتضمن غالبًا منارة Cobalt Strike للتحكم عن بُعد.
حملات تصيّد متعددة تعتمد على الهندسة الاجتماعية
أشارت التقارير الأمنية إلى موجة من حملات التصيّد الاحتيالي التي تنشر برمجيات خبيثة متنوعة، ومن أبرزها:
-
هجمات يُرجّح أنها من تنفيذ مجموعة مالية تُعرف بـ UNC5952، وتستخدم رسائل بريد إلكتروني تتناول فواتير وهمية لنشر أدوات تحميل تؤدي إلى تثبيت برنامج CHAINVERB، الذي يوزع لاحقًا برنامج ConnectWise ScreenConnect للوصول عن بُعد.
-
هجمات تستخدم مواضيع ضريبية لإقناع الضحايا بالنقر على روابط توصلهم إلى مُثبّت ScreenConnect تحت ذريعة فتح مستند PDF.
-
حملات تستخدم رسائل تنتحل صفة إدارة الضمان الاجتماعي الأمريكية (SSA) لسرقة بيانات الاعتماد أو تثبيت إصدار مزيف من ScreenConnect، يليها توجيه الضحية لتثبيت تطبيق Microsoft Phone Link لجمع الرسائل النصية ورموز التحقق الثنائية من الهاتف المتصل.
-
هجمات توظف حزمة تصيّد تُعرف باسم Logokit لإنشاء صفحات تسجيل دخول مزيفة تُستضاف على بنية AWS لتفادي الكشف، وتستخدم تقنية CAPTCHA من Cloudflare لإضفاء طابع شرعي.
-
حملات تستعمل أدوات تصيّد مبنية على Python Flask لسرقة بيانات الدخول بسهولة.
-
هجمات تحت اسم Scanception تستخدم رموز QR في مرفقات PDF لتوجيه المستخدمين إلى صفحات مزيفة تشبه بوابة Microsoft.
-
حملات تعتمد على تقنية ClickFix لنشر Rhadamanthys Stealer وNetSupport RAT وLatrodectus.
-
استخدام خدمات إخفاء الهوية كخدمة (Cloaking-as-a-Service) مثل Hoax Tech وJS Click Cloaker لإخفاء المواقع الخبيثة عن أدوات الفحص وإظهارها فقط للضحايا المستهدفين.
-
هجمات تعتمد على HTML وJavaScript لتوليد رسائل بريد إلكتروني واقعية تخدع المستخدمين وتتجاوز أدوات الكشف التقليدية.
-
هجمات تستهدف مقدمي خدمات الأعمال B2B من خلال رسائل تصيّد تتضمن صور SVG مدمجة تحتوي على JavaScript مشفر يعيد توجيه المستخدمين إلى مواقع خبيثة باستخدام الأمر window.location.href.
تصاعد استخدام رموز QR في هجمات التصيّد
وفقًا لبيانات Cofense، شكّلت رموز QR نحو 57% من حملات التصيّد المعتمدة على تقنيات متقدمة (TTPs) خلال عام 2024. ومن بين الأساليب الأخرى الشائعة، استخدام مرفقات مضغوطة محمية بكلمة مرور داخل رسائل البريد الإلكتروني للالتفاف على بوابات البريد الإلكتروني الآمن (SEG)، حيث تمنع كلمة المرور أدوات الفحص من تحليل المحتوى والكشف عن الملفات الضارة داخله.
