برمجية BoryptGrab تنتشر عبر 292 مستودعاً مزيفاً وتسرق بيانات المستخدم

تشير التحقيقات إلى أن برمجية BoryptGrab اتسعت عبر مئات المستودعات المزيفة التي ظهرت كواجهات لبرمجيات وآليات أمان موثوقة، قبل أن تُحوّل المستخدمين إلى صفحات تنزيل احتيالية تَنشر عبرها أداة جمع معلومات باسم BoryptGrab. لم تُظهر المحطات الخبيثة نموذجاً موحداً للمهاجمين، لكن الباحثين أكدوا أن الحملة اعتمدت على تقليد أسماء العلامات التجارية والواجهات المطابقة لمنتجات معروفة لجذب المستخدمين وإقناعهم بأن ما يعرضونه موثوق.

كيف عملت الحملة وتزييفها
كل مستودع مزيف بدا كأنه يوفر برنامجاً شرعياً، أمنياً أو تطبيقاً براهُجة، حيث كانت READMEs تحتوي على روابط توجه الزائرين لصفحات تنزيل خارجية. توليد هوية المنتجات كان يتم عبر سكريبت على صفحة الهبوط التي تستخلص معلومات من عنوان URL وتحديد المستودع المرجع ليعيد بناء صورة المنتج والشعار. هذه المنظومة تُمكّن القائمين بالحملة من إعادة استخدام البنية نفسها مع مئات المشاريع المزيفة.

آلية التوزيع والتحميل
عند الوصول إلى صفحات التنزيل، كانتZIP Archives الكبيرة تتبدل أسماؤها ومحتوياتها تقريبا كل دقيقة، وهو ما قد يساعد في تفادي أنظمة الكشف القائمة على الملفات. كل أرشيف يحوي ملفين رئيسيين: مُحدّث WinGUP صالح وموقّع رقمياً، وملف DLL ضار باسم libcurl.dll. يقوم المهاجمون بإعادة تسمية المُحدّث الرسمي ليطابق البرنامج المُزيف المعلن، وعند تشغيل المُحدّث الموثوق، يتم تحميل DLL الضار من نفس المجلد عبر تقنية DLL side-loading، لتشغيل الشيفرة الخبيثة في الذاكرة.
ما الذي تفعله BoryptGrab
يُعتقد أن البرمجية تنتمي إلى عائلة infostealer وتستهدف كلمات المرور، وملفات تعريف الارتباط، وتفاصيل جلسات التصفح وبيانات بعض محافظ العملات الرقمية لأكثر من 19 متصفحاً. كما تسعى لجمع بيانات تتعلق بمحافظ 32 من علامات محافظ العملات الرقمية، بما في ذلك بيانات الاعتماد ومعلومات الاسترداد والملفات ذات الصلة. كما تستهدف عدة منصات تواصل وألعاب وتجمع شهادات من Windows Credential Manager. يمكن استخدام كلمات الجلسة المسروقة للوصول إلى الحسابات دون إدخال كلمة المرور في بعض الحالات.
فحصت البرمجية أيضاً مجلدات سطح المكتب والمستندات بحثاً عن كلمات المرور أو عبارات استرداد العملات أو ملفات نسخ احتياطي، كما تلتقط لقطات شاشة وتجمع معلومات النظام وقائمة البرمجيات المثبتة، ما يساعد المهاجمين على فهم الجهاز وربط حسابات أو تطبيقات أخرى يستهدفونها. بعد جمع البيانات، تُضغط المعلومات وتُرسل إلى خادم قيادة وسيطرة مقرّه في روسيا. لا تسعى البرمجية إلى إقامة وجود دائم على الجهاز المصاب؛ بل تحاول جمع أكبر قدر ممكن من البيانات خلال جلسة تشغيل واحدة.
يُشار إلى أن اليد العاملة على الحملة لم تستخدم تقنيات مضادة للتحليل بشكل متقدم، وتترك مجلدات مؤقتة والآثار المساعدة التي يمكن للفرق الأمنية الاستفادة منها في رصد الحالة المصابة.
التعامل مع المنصات الاستضافية وتحليل النطاق
في أعقاب الإبلاغ عن الحملة، تمت إزالة مئات المستودعات المزيفة من المنصة المعنية. مع ذلك، بقيت بعض صفحات التحويل النشطة ما زالت توجه المستخدمين إلى بنى توزيع خبيثة حتى مع اختفاء المستودعات الأصلية. لا تمكن الباحثون من ربط الحملة بجهة تهديد بعينها؛ استناداً إلى البنية التحتية وتفاصيل الحملة، يعتقدون أن المشغل روسي اللغة وبأنه مدفوع مادياً.
هذه الحوادث ليست الأولى من نوعها؛ فقد عُرِضت نسخة ضارة من Claude Code عبر المنصة نفسها، كما رُصدت إضافة ضارة لامتداد Visual Studio Code تكشف بيانات من نحو 3,800 مستودع. كما قامت جهات معنية باستعادة عدد من المستودعات المرتبطة بتهديدات سابقة. تُظهر أمثلة كهذه كيف يحاول المهاجمون استغلال منصات التطوير الموثوقة والهوية البرمجية المعروفة للوصول إلى مطوّرين ومستخدمين تقنيين.
الخلاصة
توضح الحادثة أن البرمجيات الخبيثة التي تُدار عبر مستودعات مزيفة يمكنها جمع بيانات حساسة عبر استعمال تقنيات معيارية في توزيع الملفات وتزييف الهوية، ما يعزز أهمية التحقق من صحة المصادر وتقييم الروابط قبل التنزيل وتجنب الاعتماد على أسماء تجارية مموّهة أو شعارات سطحية.





