في تحذير جديد يعكس تصاعد خطورة برمجيات السرقة المبنية على بيئة Node.js، كشفت فرق البحث في Elastic Security Labs عن رصد برمجية خبيثة تدعى NOVABLIGHT، يتم تطويرها وترويجها من قبل مجموعة تهديد تُعرف باسم Sordeal Group، وتتميز بإتقان اللغة الفرنسية وتوزيعها للبرمجية على قنوات مثل Telegram وDiscord.
رغم ترويجها على أنها “أداة تعليمية” بأسعار تبدأ من 25 يورو شهريًا وتصل إلى 140 يورو لمدة ستة أشهر، فإن هذه الواجهة ما هي إلا ستار لخداع المستخدمين، إذ تُعد NOVABLIGHT في جوهرها أداة متقدمة لسرقة المعلومات الحساسة، بُنيت على إطار Electron، مما يجعلها قوية ومرنة وقابلة للتعديل حسب المهام التخريبية المطلوبة.
خصائص تقنية متقدمة تتجاوز سرقة كلمات المرور
لا تقتصر قدرات NOVABLIGHT على سرقة بيانات تسجيل الدخول، بل تشمل جمع بيانات المحافظ الرقمية الخاصة بالعملات المشفرة، والتقاط معلومات نظام التشغيل، وإجراء كشف للبيئات الافتراضية (sandbox detection) لتفادي التحليل الأمني، كما أنها تستخدم تقنيات تعمية وتشويش كثيفة لتعقيد مهمة اكتشافها وتحليلها من قبل باحثي الأمن السيبراني.
البرمجية تعتمد على نموذج الوحدات البرمجية (Modular Design)، ما يعني إمكانية إضافة أو تعديل الوظائف بسهولة. هذا التصميم المرن يفتح المجال أمام المهاجمين لتخصيص الأداة بما يتناسب مع أهدافهم التخريبية، سواء في جمع البيانات أو نقلها أو التخفي بعد تنفيذ المهمة.
طريقة التوزيع: مواقع وهمية لمحبي الألعاب
وفقًا للتحقيقات، يتم نشر NOVABLIGHT عبر مواقع مزيفة تدّعي توفير مُثبِّتات لألعاب شهيرة، ما يجعل اللاعبين، خاصة صغار السن، هدفًا سهلاً للوقوع في الفخ. بمجرد تنزيل المستخدم لهذه “الأداة”، تبدأ البرمجية في سرقة البيانات الحساسة وإرسالها إلى خوادم التهديد عبر بروتوكولات محمية يصعب تتبعها.
مجموعة Sordeal ومحاولة إخفاء النوايا
تُعد Sordeal Group من المجموعات النشطة حديثًا، وتستخدم استراتيجية التمويه “التعليمي” للترويج لأدواتها الضارة، مستفيدة من قنوات تواصل اجتماعي يصعب ضبطها مثل Discord وTelegram. هذه الاستراتيجية ليست جديدة، لكنها تزداد احترافًا في ظل تنامي الطلب على أدوات الهجوم السيبراني السهلة الاستخدام.
ويشير الخبراء إلى أن استخدام إطار Electron في بناء البرمجية يمنحها القدرة على العمل عبر أنظمة تشغيل متعددة، ما يعزز خطورتها ويزيد من احتمالية انتشارها السريع، خاصة في أوساط المستخدمين غير المتمرسين تقنيًا.
دلالات أمنية ومخاوف مستقبلية
ظهور NOVABLIGHT يُظهر تحولًا نوعيًا في تصميم برمجيات سرقة المعلومات، حيث تتجه مجموعات التهديد إلى اعتماد تقنيات أكثر تقدمًا مثل Node.js وElectron لتوسيع نطاق الضرر وتعقيد سبل الرصد.
هذا التطور يستدعي من شركات الأمن السيبراني رفع درجة اليقظة والتركيز على تحليل التهديدات الحديثة المموهة، كما ينبغي للمستخدمين تجنّب تحميل البرامج من مصادر غير موثوقة، خصوصًا تلك المتعلقة بالألعاب أو أدوات الاختراق أو البرامج “التجريبية”.
