Netcrook Logo
👤 LOGICFALCON
🗓️ 24 Mar 2026   🌍 Europe

خدع مدعومة بالذكاء الاصطناعي: مشاريع GitHub مُحصَّنة بطروادة تستهدف المطورين واللاعبين على حد سواء

العنوان الفرعي: حملة متطورة تستغل شعبية OpenClaw وأدوات مطورين أخرى على GitHub، وتنشر حصان طروادة خفيًا لسرقة البيانات عبر مستودعات تبدو شرعية.

ماذا يحدث عندما تتحول الأدوات التي تثق بها لبناء المستقبل إلى الأسلحة ذاتها المستخدمة ضدك؟ في منعطف مخيف، اختطف مجرمو الإنترنت روح التعاون في تطوير المصادر المفتوحة، مطلقين حملة واسعة تستفيد من الذكاء الاصطناعي لتمويه أفخاخهم - على مرأى من الجميع على GitHub.

حقائق سريعة

  • اكتشاف أكثر من 300 حزمة خبيثة على GitHub تستهدف المطورين واللاعبين معًا.
  • استخدم المهاجمون مُثبّت Docker مزيفًا ومصقولًا لـ OpenClaw كطُعم.
  • الحمولة: حصان طروادة قائم على LuaJIT قادر على التقاط لقطات شاشة، وتحديد الموقع الجغرافي، وسرقة بيانات الاعتماد.
  • مكّنت أساليب بمساعدة الذكاء الاصطناعي المهاجمين من توليد أسماء حزم وطعوم متنوعة ومقنعة.
  • لا تزال بعض المستودعات الخبيثة نشطة رغم إشعارات GitHub.

أطلقت Netskope Threat Labs على الحملة اسم "مصنع طُعوم TroyDen"، وهي تمثل سلالة جديدة من التهديدات: سلالة تمزج الأتمتة المدفوعة بالذكاء الاصطناعي مع فهم عميق لعادات المطورين. صاغ المهاجمون أكثر من 300 حزمة، تتنكر كل واحدة منها في هيئة شيء قد يسارع المطورون أو اللاعبون لتثبيته - من أدوات ذكاء اصطناعي رائجة مثل OpenClaw ومتتبعات أرقام Telegram إلى غش الألعاب وبوتات العملات المشفرة. وكانت الحيلة مقنعة بما يكفي لجذب مساهمين موثوقين في المصادر المفتوحة، ما طمس الحدود بين التعاون الحقيقي والخداع السيبراني.

يكمن القلب التقني للهجوم في حصان طروادة LuaJIT مُحكم الهندسة. وعلى خلاف البرمجيات الخبيثة المعتادة، ينقسم حصان طروادة إلى مكوّنين: مُفسّر Lua مُتنكّر ونص برمجي مُشفّر. كل ملف بمفرده يبدو غير ضار - متفاديًا أدوات التحليل الساكن والسلوكي. لكن عند تشغيلهما معًا، يظهر الخطر الحقيقي: يجري حصان طروادة فحوصات مضادة للتحليل، ويؤخر التنفيذ لخداع بيئات الساندبوكس، ويلتقط لقطات شاشة لسطح المكتب بالكامل، ويستنزف بيانات الاعتماد والبيانات الحساسة إلى خادم قيادة وتحكم في فرانكفورت خلال لحظات من التنفيذ.

وجد المحققون أدلة على أن الذكاء الاصطناعي لعب دورًا محوريًا في توسيع نطاق الحملة. فقد استخدمت أسماء حزم الطُعم مصطلحات بيولوجية وطبية غامضة، وهو نمط لا يمكن تحقيقه إلا عبر إبداع منهجي مؤتمت. وهذا يشير إلى تحول: لم يعد المهاجمون يستخدمون الذكاء الاصطناعي لمجرد تفادي الكشف - بل يستخدمونه لتصنيع انتشار أفخاخهم وأتمتته على نطاق صناعي.

ويمتد تعقيد الحملة إلى تكتيكات الهندسة الاجتماعية. فقد تباهى مستودع مُثبّت OpenClaw الاحتيالي بملف README احترافي، وروابط أصلية للمصدر الأعلى، بل وذكر مساهمين معروفين - أحدهم قدّم شيفرة شرعية، على ما يبدو دون إدراك للأسس الخبيثة. هذا المستوى من التفاصيل مصمم لتهدئة حتى المطورين المخضرمين وإيهامهم بالأمان.

وعلى الرغم من الإخطار السريع لـ GitHub، لم تُزل جميع المستودعات المصابة. ويشير اتساع الحملة إلى أن المهاجمين يلقون شبكة واسعة، مفضلين الكم على الدقة. والدرس للمدافعين واضح: أي حزمة مستضافة على GitHub تقرن مُفسّرًا مُعاد تسميته بملف بيانات معتم تستدعي تدقيقًا فوريًا يقوده البشر - بغض النظر عن مدى أصالة المستودع.

ومع ازدياد تعقيد سلسلة توريد البرمجيات وتشابكها، تُعد هذه الحملة تذكيرًا عاجلًا: الثقة، حين تُسلَّح، قد تكون مدمرة. وفي عصر الذكاء الاصطناعي، تبقى اليقظة والشك أفضل دفاع للمطور.

WIKICROOK

  • LuaJIT: LuaJIT هو مُصرّف سريع يعمل بأسلوب الترجمة الفورية (Just-In-Time) للغة Lua، يتيح كتابة سكربتات عالية الأداء في أدوات الأمن السيبراني والأتمتة وتحليل الشبكات.
  • Command: الأمر هو تعليمة تُرسل إلى جهاز أو برنامج، غالبًا من خادم C2، لتوجيهه لتنفيذ إجراءات محددة، أحيانًا لأغراض خبيثة.
  • Sandbox: الساندبوكس هي بيئة آمنة ومعزولة يحلل فيها الخبراء الملفات أو البرامج المشبوهة بأمان دون تعريض الأنظمة أو البيانات الحقيقية للخطر.
  • Credential Theft: تحدث سرقة بيانات الاعتماد عندما يسرق المخترقون أسماء المستخدمين وكلمات المرور، غالبًا عبر التصيد أو خروقات البيانات، للوصول غير القانوني إلى الحسابات عبر الإنترنت.
  • Supply Chain Attack: هجوم سلسلة التوريد هو هجوم سيبراني يساوم مزودي البرمجيات أو العتاد الموثوقين، ناشرًا برمجيات خبيثة أو ثغرات إلى العديد من المؤسسات دفعة واحدة.
AI Deception GitHub Threats Credential Theft
LOGICFALCON LOGICFALCON
Log Intelligence Investigator
← Back to news