شبكة GitHub الظلية: كيف أغرت 109 مستودعات مزيفة المطورين إلى فخ برمجيات خبيثة

العنوان الفرعي: حملة آلية مترامية الأطراف تسلّح الثقة بالمصادر المفتوحة، وتنشر برمجيات SmartLoader وStealC المتقدمة عبر نسخ GitHub مقنعة.

بدأ الأمر بقصة مألوفة: مشروع واعد مفتوح المصدر على GitHub، جرى تفريعه ومشاركته من مطورين متحمسين. لكن خلف الشارات المطمئنة وأسماء الملفات المألوفة كانت تختبئ عملية جريمة سيبرانية متقنة - عملية سلّحت الثقة والحجم وحيل البلوك تشين الحديثة لاصطياد الضحايا حول العالم.

حقائق سريعة

تم تحديد ما لا يقل عن 109 مستودعات GitHub خبيثة موزعة على 103 حسابات.
أدرج المهاجمون البرمجيات الخبيثة داخل ملفات ZIP مخفية عميقًا ضمن المستودعات المستنسخة، وليس ضمن الإصدارات الرسمية.
تستخدم الحملة مُحمّلًا قائمًا على LuaJIT ("SmartLoader") وبرمجية سرقة المعلومات StealC، وكلاهما مصمم للتخفي والاستمرارية.
يتم حلّ عناوين خوادم القيادة والتحكم (C2) عبر عقد ذكي على بلوك تشين Polygon، ما يجعل جهود الإزالة أكثر صعوبة.
امتد النشاط الخبيث لما لا يقل عن سبعة أسابيع، مع ظهور مستودعات جديدة حتى وقت قريب من أبريل 2026.

الخطة بقدر ما هي ذكية فهي خبيثة. استنسخ مجرمو الإنترنت مستودعات مفتوحة المصدر رائجة، مقلدين كل تفصيلة - أسماء الملفات، الشيفرة، وحتى أوصاف المشاريع. لكن ملفات README أُعيدت كتابتها، وجُرّدت من التعليمات الحقيقية، وزُيّنت بدلًا من ذلك بشارات تنزيل لافتة للنظر. كانت هذه الأزرار تقود المستخدمين غير المرتابين ليس إلى إصدار بريء، بل إلى أرشيف ZIP مدفون عميقًا في شجرة المشروع. وفي الداخل: سلسلة ملفات مصممة للاختراق والمراقبة والسرقة.

احتوى كل أرشيف خبيث على ملف دفعي للتشغيل، وتنفيذية LuaJIT متنكرة، وملف DLL باسم يثير الشبهات، ونص Lua مُموَّه ومشوَّش يتظاهر بأنه ملف نصي أو سجل. كان الملف الدفعي يطلق برمجية SmartLoader بهدوء في الخلفية، متجنبًا النوافذ الطرفية والتدقيق. أما نص SmartLoader نفسه فكان حصنًا من التشويش - محشوًا بسلاسل مُرمّزة ومتغيرات عشوائية وحيل مضادة للتحليل - مصممًا لإحباط حتى محللي البرمجيات الخبيثة المخضرمين.

وبمجرد تشغيله، كان SmartLoader يُبصّم المضيف، ويلتقط لقطات شاشة، ويحمّل حمولات إضافية مباشرة إلى الذاكرة. لكن ما يميز هذه الحملة حقًا هو استخدامها لتقنية البلوك تشين. فبدلًا من عناوين C2 المضمّنة ثابتًا، كان SmartLoader يستعلم عقدًا ذكيًا على Polygon، مستخرجًا موقع الخادم الحالي من بيانات على السلسلة. أتاح ذلك للمهاجمين تدوير البنية التحتية فورًا دون تحديث كل عينة مصابة - تاركًا المدافعين يطاردون الظلال.

ولضمان الاستمرارية، أنشأت البرمجية الخبيثة مهامًا مجدولة متنكرة كبرمجيات شرعية، بما يضمن أنه حتى لو أزيل مسار عدوى واحد، فإن مسارًا آخر سيعيد إحياءها أو يجلب شيفرة جديدة من مستودعات GitHub التي يسيطر عليها المهاجمون. أما الجائزة النهائية للمهاجمين: StealC، حمولة لسرقة المعلومات قادرة على سحب بيانات حساسة من الأنظمة المخترقة.

لاحظ المحققون الطابع الصناعي للحملة: دفعات سريعة من الالتزامات (commits)، وتجهيز موحّد، وإعادة استخدام للبنية التحتية - all ذلك أشار إلى عملية واحدة عالية الأتمتة. اعتمد المهاجمون على ثقة منظومة المصادر المفتوحة وعلى ظهور المشاريع الرائجة، محولين روح GitHub التعاونية إلى سلاح.

وبينما يسارع المدافعون للحاق - بحثًا عن مفسرات غير موقعة، واستدعاءات JSON-RPC مريبة، ونصوص Lua مدفونة - يتضح الدرس. في عصر «كل شيء مفتوح المصدر»، الثقة ثمينة وسهلة الاستغلال. حتى المستودع الأكثر ألفة قد يكون ذئبًا في ثياب حمل، يخفي التهديد السيبراني الكبير التالي على مرأى من الجميع.

WIKICROOK

LuaJIT: LuaJIT هو مُصرّف سريع من نوع Just-In-Time للغة Lua، يتيح برمجة نصية عالية الأداء في أدوات الأمن السيبراني والأتمتة وتحليل الشبكات.
SmartLoader: SmartLoader هو مُحمّل برمجيات خبيثة قائم على LuaJIT يثبت ويدير برمجيات خبيثة إضافية على الأنظمة المخترقة بسرية.
Obfuscation: التشويش (Obfuscation) هو ممارسة إخفاء الشيفرة أو البيانات لجعل فهمها أو تحليلها أو اكتشافها صعبًا على البشر أو أدوات الأمن.
Command: الأمر (Command) هو تعليمة تُرسل إلى جهاز أو برنامج، غالبًا من خادم C2، لتوجيهه لتنفيذ إجراءات محددة، أحيانًا لأغراض خبيثة.
Persistence: الاستمرارية (Persistence) تتضمن تقنيات تستخدمها البرمجيات الخبيثة للبقاء بعد إعادة التشغيل والاختباء على الأنظمة، غالبًا عبر محاكاة عمليات أو تحديثات شرعية.