تنكر البرمجيات الخبيثة: كيف أصبح زر التحميل في EmEditor فخًا إلكترونيًا

العنوان الفرعي: لمدة أربعة أيام، خاطر الآلاف ببياناتهم بينما قدمت الصفحة الرئيسية لبرنامج شهير أداة سرقة معلومات متخفية.

تخيل أنك تقوم بتحديث محرر النصوص المفضل لديك، لتجد نفسك دون قصد تسلم كلمات مرورك الأكثر حساسية، ومحافظ العملات الرقمية، وأسرار عملك لمجرمي الإنترنت. هذا بالضبط ما حدث لمستخدمي EmEditor في ديسمبر الماضي، عندما حول اختراق ماكر الصفحة الرسمية للبرنامج إلى نظام توزيع برمجيات خبيثة - تحت أنظار الجميع.

حقائق سريعة

بين 19 و22 ديسمبر 2025، كان زر التحميل الرئيسي في EmEditor يقدم برمجيات خبيثة بدلًا من المثبت الأصلي.
المثبت المزيف كان يحاكي الأصلي في الاسم والحجم لكنه كان موقعًا رقميًا باسم WALSHAM INVESTMENTS LIMITED.
استهدف الهجوم الموظفين التقنيين والمكاتب الحكومية، وسرق بيانات الدخول والملفات وحتى العملات الرقمية.
الضحايا الذين حدثوا البرنامج عبر أداة التحديث التلقائي أو النسخة المحمولة لم يتأثروا.
امتداد متصفح مزيف مكّن الوصول عن بعد وسرقة العملات الرقمية.

في 19 ديسمبر 2025، تعرضت شركة Emurasoft، المطورة لـ EmEditor، لاختراق في موقعها سمح للمهاجمين بالتلاعب بإعدادات إعادة التوجيه. لمدة أربعة أيام حرجة، كان كل من ينقر على زر "تحميل الآن" البارز في emeditor.com يتلقى مثبتًا خبيثًا بدلًا من النسخة الأصلية.

كانت الخدعة فعالة بشكل مخيف. الملف المارق، emed64_25.4.3.msi، كان شبه مطابق في الحجم والاسم للنسخة الرسمية. العلامة الوحيدة؟ التوقيع الرقمي، الذي لم يكن يعود لـ Emurasoft بل لكيان غير ذي صلة: WALSHAM INVESTMENTS LIMITED. معظم المستخدمين، في عجلة التحديث، على الأرجح لم يتحققوا أبدًا.

قام باحثو الأمن في فريق RedDrip التابع لـ Qianxin بسرعة بتحليل البرمجية الخبيثة. وجدوا أنها أداة سرقة معلومات متطورة صممت لسرقة بيانات الدخول لأدوات التواصل (Slack، Discord، Steam)، وبيانات المتصفح، وأسرار VPN، وحتى أدوات متخصصة مثل PuTTY وWinSCP. كانت البرمجية الخبيثة تشغل مثبت EmEditor الحقيقي في الخلفية، لذا لم يلاحظ الضحايا أي شيء غير طبيعي - حتى تم نهب حياتهم الرقمية.

لم تكن هذه الحملة عشوائية. تشير التحليلات إلى أن المهاجمين استهدفوا محترفي تكنولوجيا المعلومات والوكالات الحكومية، لتعظيم فرص سرقة بيانات عالية القيمة. حتى أن البرمجية الخبيثة تضمنت آلية تدمير ذاتي: كانت ترفض العمل على الحواسيب في دول الاتحاد السوفيتي السابق أو إيران، لتجنب رقابة سلطات إنفاذ القانون المحلية.

وربما كان الأكثر خبثًا، أن البرمجية الخبيثة ثبتت امتداد متصفح مارق - "Google Drive Caching" - مما سمح للقراصنة باختطاف جلسات المتصفح وتبديل عناوين العملات الرقمية أثناء المعاملات دون علم المستخدم، ليتم تحويل الأموال إلى محافظهم الخاصة.

تحركت Emurasoft بسرعة، فأعادت الموقع وأصدرت تحذيرات. المستخدمون الذين حدثوا البرنامج عبر أداة التحديث المدمجة، أو حملوا النسخة المحمولة، أو استخدموا النطاق الفرعي الرسمي للتحميل بقوا في أمان. أما من نقروا على زر الصفحة الرئيسية الرئيسي بين 19 و22 ديسمبر فقد يكونون قد ثبتوا أداة سرقة المعلومات دون علمهم.

حادثة EmEditor تذكرنا بوضوح: حتى أزرار التحميل الموثوقة قد تتحول إلى حقول ألغام رقمية. على المستخدمين أن يكونوا يقظين - تحققوا دائمًا من التوقيعات الرقمية واستخدموا آليات التحديث الرسمية متى أمكن. أما للمطورين، فيبرز الاختراق الحاجة للاهتمام الدائم بأمن المواقع وسلامة سلسلة التوريد. في عالم يمكن أن يؤدي فيه نقرة واحدة إلى اختراق كل شيء، قد يكون الحذر المفرط هو أفضل دفاع.

ويكي كروك

أداة سرقة المعلومات: أداة سرقة المعلومات هي برمجية خبيثة مصممة لسرقة بيانات حساسة - مثل كلمات المرور، وبطاقات الائتمان، أو الوثائق - من الحواسيب المصابة دون علم المستخدم.
التوقيع الرقمي: التوقيع الرقمي هو ختم إلكتروني يثبت أن مستندًا أو برنامجًا أصلي ولم يتم تغييره، لكنه قد يُساء استخدامه إذا تم الحصول عليه بطريقة احتيالية.
امتداد المتصفح: امتداد المتصفح هو إضافة صغيرة تعزز ميزات المتصفح، لكنها قد تُستغل أيضًا من قبل القراصنة لسرقة البيانات أو التجسس على المستخدمين.
SHA: SHA (خوارزمية التجزئة الآمنة) هي مجموعة من دوال التجزئة التشفيرية التي تحمي سلامة البيانات وتعد أساسية في البلوكشين والأمن السيبراني.
إعادة التوجيه: إعادة التوجيه ترسل الزوار تلقائيًا من عنوان ويب إلى آخر، وغالبًا ما تُستخدم عند نقل المواقع أو تغييرها أو إيقافها.