لصوص المعلومات في نظام macOS بايثون

يحذر خبراء الأمن السيبراني من التوسع السريع لهجمات سرقة المعلومات، لتشمل أنظمة تشغيل ماك أو إس من مايكروسوفت ويندوز. ويعتمد المهاجمون بشكل متزايد على لغات برمجة متعددة المنصات مثل بايثون، ويستغلون الخدمات الموثوقة ومنصات الإعلان لنشر البرمجيات الخبيثة على نطاق واسع، مما يزيد من نطاق الهجمات بشكل كبير.

الهندسة الاجتماعية تغذي حملات سرقة المعلومات على نظام macOS

منذ أواخر عام 2025، استهدفت حملاتٌ عديدة مستخدمي نظام macOS باستخدام أساليب الهندسة الاجتماعية، وأبرزها حملة ClickFix. تُوزّع هذه العمليات مُثبّتات صور أقراص خبيثة (DMG) تُشغّل عائلات برامج سرقة المعلومات المعروفة لنظام macOS، بما في ذلك Atomic macOS Stealer (AMOS) وMacSync وDigitStealer. ويعتمد نجاح هذه العمليات غالبًا على إقناع المستخدمين ببدء عملية الإصابة بأنفسهم يدويًا.

إساءة استخدام نظام macOS الأصلي وسرقة البيانات الخفية

بمجرد تنفيذها، تعتمد هذه التهديدات غالبًا على تقنيات لا تعتمد على الملفات، وأدوات macOS الأصلية، وأتمتة AppleScript لتجنب الكشف عنها وتبسيط عملية جمع البيانات. تشمل المعلومات المسروقة عادةً بيانات الاعتماد وبيانات الجلسة المخزنة في المتصفح، والبيانات الحساسة من سلسلة مفاتيح iCloud، والأسرار المتعلقة بالمطورين التي يمكن أن تُسهّل المزيد من الاختراقات.

الإعلانات الخبيثة كوسيلة الوصول الأولية

تبدأ العديد من سلاسل الهجمات هذه بإعلانات خبيثة، تُعرض غالبًا عبر إعلانات جوجل. يُعاد توجيه المستخدمين الذين يبحثون عن برامج شرعية، مثل أدوات DynamicLake أو أدوات الذكاء الاصطناعي، إلى مواقع ويب مزيفة. تستخدم هذه المواقع حيل ClickFix التي تُوجه الضحايا لاتباع أوامر النسخ واللصق أو تعليمات التثبيت، مما يؤدي إلى تثبيت برامج ضارة بأنفسهم.

سرقات الثعابين تُمكّن من التكيف السريع

تُعدّ برامج سرقة المعلومات المبنية على لغة بايثون جذابةً بشكل خاص للمهاجمين نظرًا لمرونتها وسهولة إعادة استخدامها عبر أنظمة تشغيل مختلفة. وتنتشر هذه التهديدات عادةً عبر رسائل البريد الإلكتروني التصيدية، وهي مصممة لسرقة مجموعة واسعة من البيانات الحساسة، بما في ذلك:

بيانات اعتماد تسجيل الدخول، وملفات تعريف الارتباط الخاصة بالجلسة، ورموز المصادقة، وتفاصيل بطاقة الائتمان، وبيانات محفظة العملات المشفرة

سرقة بيانات PXA وإساءة استخدام تطبيقات المراسلة

من الأمثلة البارزة على ذلك برنامج PXA Stealer، الذي يُنسب إلى جهات تهديد ناطقة باللغة الفيتنامية. اعتمدت حملات موثقة من أكتوبر إلى ديسمبر 2025 على رسائل بريد إلكتروني تصيدية للوصول الأولي، واستغلت مفاتيح تشغيل سجل النظام أو المهام المجدولة للحفاظ على استمرارية الوصول. استُخدم تطبيق تيليجرام للتحكم في الاتصالات وسرقة البيانات. وفي سياق منفصل، استغلت جهات التهديد أيضًا منصات المراسلة الشائعة مثل واتساب لنشر برامج ضارة مثل Eternidade Stealer، مستهدفةً الحسابات المالية وحسابات العملات المشفرة، وهي حملة كُشف عنها علنًا في نوفمبر 2025.

تسميم محركات البحث والبرامج المزيفة على نظام ويندوز

لا يقتصر نشاط سرقة المعلومات على نظام macOS. فقد استخدمت حملات موازية برامج تحرير ملفات PDF مزيفة، مثل Crystal PDF، يتم الترويج لها عبر الإعلانات الخبيثة وتسميم تحسين محركات البحث. وتستهدف هذه الهجمات نظام Windows، حيث تستخدم برامج لسرقة بيانات الاعتماد قادرة على استخراج ملفات تعريف الارتباط ومعلومات الجلسات وبيانات الاعتماد المخزنة مؤقتًا من متصفحي Mozilla Firefox وGoogle Chrome خلسةً.

التدابير الدفاعية ضد عمليات سرقة المعلومات

للحد من التعرض لتهديدات سرقة المعلومات، يتم تشجيع المؤسسات على تطبيق دفاعات متعددة الطبقات ومبادرات توعية المستخدمين، بما في ذلك:

• تدريب المستخدمين على التعرف على سلاسل إعادة التوجيه الإعلانية الخبيثة، وبرامج التثبيت الاحتيالية، والمطالبات المشابهة لبرنامج ClickFix.
• مراقبة أي نشاط غير معتاد في الجهاز الطرفي، أو الوصول غير المصرح به إلى سلسلة مفاتيح iCloud، أو طلبات POST الصادرة المشبوهة إلى نطاقات مسجلة حديثًا أو نطاقات غير طبيعية.

الأثر التجاري لاختراق برنامج سرقة المعلومات

قد تُخلّف عمليات سرقة المعلومات الناجحة عواقب وخيمة. إذ يُمكن أن تُتيح بيانات الاعتماد وبيانات الجلسات المسروقة اختراقات أمنية، ودخولاً غير مُصرّح به إلى الأنظمة الداخلية، واختراقاً لبريد الشركات الإلكتروني، واختراقاً لسلاسل التوريد، وهجمات لاحقة مثل برامج الفدية. ويظل الكشف الاستباقي والتوعية أمراً بالغ الأهمية للحدّ من هذه المخاطر.