رصد خبراء تهديدات سيبرانية حملات تستغل أداة مفتوحة المصدر مكتوبة بلغة بايثون تُعرف باسم RedTiger في هجمات استهدفت مجتمعات الألعاب وحسابات مستخدمي منصة Discord، حيث تعمل الأداة على حصاد أنواع متعددة من المعلومات الحسّاسة مع تركيز خاص على بيانات المصادقة في Discord.
وصف الآلية والوظائف الرئيسية
تحقن برمجية RedTiger شيفرة JavaScript مخصصة داخل ملف العميل لبرنامج Discord (discord_desktop_core/index.js) لمراقبة واعتراض حركة المرور داخل التطبيق وسرقة رموز المصادقة. بالإضافة إلى ذلك، تجمع الأداة بيانات مخزّنة في المتصفحات (بما في ذلك معلومات الدفع)، وملفات متعلّقة بالألعاب، وبيانات محافظ العملات المشفرة، ولقطات شاشة من الجهاز، وقد تصل إلى التجسّس عبر كاميرا الضحية.
قدرات الإعاقة والتشويش على التحليل
تُدعم الحملة تقنية “الإغراق” عبر إنشاء عدد هائل من الملفات والعمليات: توليد 100 ملف بامتدادات عشوائية وإطلاق 100 سلسلة معالجة (threads) تُمهّد لتشغيل نحو 400 عملية بشكل متزامن، ما يؤدي إلى استنزاف موارد النظام وعرقلة جهود التحليل والاستجابة. كما تستغل الحملة القنوات الشرعية والمنصات المفتوحة المصدر لإضفاء قدْرٍ من المصداقية وتجاوز وسائل الحماية التقليدية.
توابع حملات مماثلة وأدوات مساعدة
في موجة موازية، ظهر برنامج خبيث متعدد الوظائف مبني بايثون يتخفّى في صورة برنامج لعبة مزعوم باسم “Nursultan Client” يستخدم واجهة برمجة تطبيقات بوت تيليجرام (Telegram Bot API) كقناة تحكّم وسيطرة (C2). هذا الطراز يتيح للمهاجمين أخذ لقطات شاشة، التقاط صور عبر كاميرا الضحية، سرقة رموز مصادقة Discord، وفتح روابط عشوائية على جهاز الضحية، ما يعكس تزايد استهداف اللاعبين بأدوات متقدمة ومتخفّية.
مخاطر وتوصيات سريعة للوقاية
تشكل هذه الحملة تذكيرًا بضرورة توخي الحذر عند تنزيل أدوات وملاحق موجهة للألعاب أو استخدام برامج طرف ثالث غير موثوقة. يوصى بتفعيل المصادقة متعددة العوامل المتناسبة (مع تجنّب حفظ رموز المصادقة ضمن متصفحات غير مؤمّنة)، تحديث برامج الحماية ونُهج الكشف، فحص سلامة ملفات تثبيت الألعاب، مهاجمة سياسة وحدات التحكّم لدى المؤسسات بشأن تثبيت البرمجيات، وعدم تشغيل برامج مزوّرة أو غير معروفة حتى لو انتشرت ضمن مجتمع اللاعبين.
