حذر رئيس أمن المعلومات في شركة SlowMist، 23pds، في منشور على منصة X بتاريخ 10 مارس، من هجوم تسميم نتائج بحث Bing AI، حيث قام المهاجمون بنشر برنامج تثبيت مزور لـ OpenClaw في أعلى نتائج البحث عن كلمة “OpenClaw Windows”، مما يوجه المستخدمين لتحميل وتنفيذ برامج خبيثة.
أساليب الهجوم: كيف تلوث مستودعات GitHub نتائج بحث Bing AI؟
(المصدر: Huntress)
يعد OpenClaw أداة مفتوحة المصدر للمساعد الذكي، اكتسبت شعبية بسرعة بين المستخدمين، وكانت تعرف سابقًا باسم Clawdbot، وأُطلقت في نوفمبر 2025. حصدت آلاف التفرعات (forks) ومئات الآلاف من النجوم على منصة GitHub، مما جعلها نافذة سهلة للمهاجمين للاختراق.
أنشأ المهاجمون مستودعًا خبيثًا على GitHub، مزورًا ليبدو كأداة تثبيت شرعية، واستخدموا رمزًا من Cloudflare لزيادة المصداقية، وطرحوا البرنامج باسم “openclaw-installer” كمجموعة مستقلة على GitHub بدلاً من حساب مستخدم عادي، لتجنب الشكوك الأولية.
وأشار Huntress إلى أن نجاح هذا الهجوم يكمن في أن مجرد استضافة الكود الخبيث على GitHub يكفي لتسميم نتائج البحث في Bing AI، دون الحاجة إلى تعديل خوارزميات محرك البحث. وتُعد هذه الطريقة امتدادًا لنشاطات المهاجمين في ديسمبر 2025، عندما استغلوا ChatGPT وGrok لمشاركة الدردشات، لكن مع مستوى عتبة أقل وتأثير أوسع.
تحليل أدوات البرمجيات الخبيثة: تهديدات مكونة من ثلاث طبقات
تتوزع مكونات البرمجيات الخبيثة المستخدمة في الهجوم بشكل واضح:
-
Stealth Packer (مُعبئ حديث): يحقن البرمجيات الخبيثة في الذاكرة، يضيف قواعد جدار حماية، ينشئ مهام جدولة مخفية، ويقوم باختبارات ضد البيئة الافتراضية قبل فك تشفير الحمولة، مع معدل اكتشاف منخفض جدًا على VirusTotal.
-
GhostSocks (برمجية خبيثة لوكيل عكسي): استُخدمت سابقًا من قبل مجموعة برامج الفدية BlackBasta، وتحول الكمبيوتر المصاب إلى خادم وكيل، مما يسمح للمهاجمين بالوصول إلى الحسابات باستخدام عنوان IP الخاص بالمصاب، متجاوزين التوثيق متعدد العوامل (MFA) وآليات مكافحة الاحتيال.
-
برامج سرقة المعلومات (Vidar / PureLogs Stealer): تُشغل بواسطة محمل مكتوب بلغة Rust، وتقوم بسرقة الشهادات، مفاتيح API، وملفات إعداد OpenClaw. حتى أن نسخة Vidar تُستخدم لنشر روابط قنوات Telegram وصفحات Steam كعناوين أوامر C2 مخفية.
الانتشار عبر الأنظمة: طرق الاختراق المختلفة لنظامي Windows و macOS
توفر مستودعات GitHub الخبيثة إرشادات تثبيت مخصصة لنظامي Windows و macOS. في Windows، بعد تشغيل ملف “OpenClaw_x64.exe”، يتم نشر عدة محملات خبيثة مكتوبة بلغة Rust، وتعمل برامج سرقة المعلومات في الذاكرة بشكل خفي. أما في macOS، تتطلب عملية التثبيت تنفيذ أمر bash واحد، حيث يتم سحب ملف تنفيذي باسم “OpenClawBot” من مستودع “dmg” تابع لمنظمة خبيثة أخرى تسمى “puppeteerrr”، والذي يُؤكد أنه نسخة من AMOS، ويُخدع المستخدمين بطلب صلاحيات مدير النظام لسرقة البيانات الحساسة من مجلدات المستندات، التنزيلات، وسطح المكتب.
بعد اكتشاف Huntress للمستودع الخبيث وإبلاغ GitHub، قامت الأخيرة بإغلاقه خلال حوالي 8 ساعات. ومن الجدير بالذكر أن حتى النسخ الشرعية من OpenClaw تحتوي على ملفات إعداد تتضمن معلومات حساسة جدًا (كلمات مرور، مفاتيح API)، وإذا تم اختراق النظام بواسطة برامج السرقة، فإن هذه الملفات تكون أيضًا معرضة للخطر.
الأسئلة الشائعة
لماذا توصي نتائج بحث Bing AI ببرامج خبيثة؟
اكتشف المهاجمون أن مجرد استضافة الكود الخبيث على GitHub يكفي لتوجيه نتائج البحث في Bing AI نحو المستودعات الخبيثة. نظام التقييم في Bing لمصداقية مستودعات GitHub لا يميز بشكل فعال المحتوى الخبيث، مما يسمح للمهاجمين بالاستفادة من ثقة المنصة لتنفيذ عمليات خداع.
كيف تتجاوز برمجية GhostSocks التوثيق متعدد العوامل (MFA)؟
تحول GhostSocks الكمبيوتر المصاب إلى خادم وكيل، بحيث يمكن للمهاجمين الوصول إلى الحسابات باستخدام عنوان IP الخاص بالمصاب، مع أنشطة تسجيل دخول تتطابق مع سلوك المستخدم الطبيعي من حيث الموقع الجغرافي والبيئة الشبكية، مما يصعب على أنظمة MFA والكشف عن الاحتيال التعرف عليها كأنشطة غير معتادة.
كيف يمكن التعرف على برامج التثبيت المزورة لـ OpenClaw؟
يجب تحميل النسخة الشرعية من OpenClaw مباشرة من المستودع الرسمي على GitHub. بالنسبة لطريقة التثبيت على macOS، فإن طلب تنفيذ أمر bash واحد من مستودع غير موثوق يُعد علامة خطرة جدًا. لا ينبغي للمستخدمين الوثوق بشكل أعمى بالمستودعات على GitHub، فوجود الكود على منصة موثوقة لا يضمن سلامة البرنامج نفسه.
إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة من مصادر خارجية ولا تمثل آراء أو مواقف Gate. المحتوى المعروض في هذه الصفحة هو لأغراض مرجعية فقط ولا يشكّل أي نصيحة مالية أو استثمارية أو قانونية. لا تضمن Gate دقة أو اكتمال المعلومات، ولا تتحمّل أي مسؤولية عن أي خسائر ناتجة عن استخدام هذه المعلومات. تنطوي الاستثمارات في الأصول الافتراضية على مخاطر عالية وتخضع لتقلبات سعرية كبيرة. قد تخسر كامل رأس المال المستثمر. يرجى فهم المخاطر ذات الصلة فهمًا كاملًا واتخاذ قرارات مدروسة بناءً على وضعك المالي وقدرتك على تحمّل المخاطر. للتفاصيل، يرجى الرجوع إلى
إخلاء المسؤولية.
مقالات ذات صلة
Figure 因区块链集成相关指控遭做空者指责;FIGR 股价较 1 月高点下跌 53%
面向科技解决方案(Figure Technology Solutions)遭到来自莫菲乌斯研究(Morpheus Research)的指控,称其夸大了对区块链技术的使用情况,导致股价大幅下跌。Figure 为其业务进行了辩护,强调其数字资产功能以及强劲的业绩指标。
GateNewsمنذ 5 س
休斯敦加密诈骗犯因 $20M Meta-1 Coin 诈骗被判23年
罗伯特·邓拉普(Robert Dunlap)是一位休斯敦企业家,被判处在与 $20 百万美元相关的加密货币诈骗案中入狱23年。该案涉及伪造资产和欺骗性做法,影响了超过1,000名受害者。他的案件反映了与加密相关的网络犯罪更广泛的上升趋势。
GateNewsمنذ 10 س
SlowMist يحذر من هجوم تصيّد نشط باستخدام برنامج مزيف بعنوان "Harmony Voice"
فريق الأمان في SlowMist حذّر من حملة هندسة اجتماعية تستهدف مستخدمي العملات المشفرة. يتظاهر المحتالون بأنهم شركاء للمشروع لخداع المستخدمين من خلال تحميل تطبيق خبيث مُموَّه على أنه أداة ترجمة. يُنصح المستخدمون بالتحقق من أصالة البرامج.
GateNewsمنذ 10 س
رئيس Zonda Exchange يتهم المؤسس المفقود بـ $336M في بيتكوين المفقودة
أرجع الرئيس التنفيذي لشركة Zonda، برزيميسواف كرال، فقدان إمكانية الوصول إلى 4,500 BTC بقيمة $336 مليون إلى إخفاق المؤسس المفقود سيلفستر سوزك في نقل مفاتيح التجزئة الخاصة. وفي ظل مزاعم الإفلاس وتزايد طلبات السحب، يصر كرال على أن Zonda لا تزال قادرة على الوفاء بالتزاماتها المالية، وسيشرع في اتخاذ إجراءات قانونية مع البحث عن سوزك، الذي اختفى في عام 2022.
GateNewsمنذ 11 س
Grinex 交易所:在针对钱包系统的 $15M 次网络攻击后暂停全部交易
Grinex,一家吉尔吉斯斯坦加密交易所,在遭受网络攻击并造成约 $15 百万美元损失后暂停交易。此次攻击的先进性表明可能存在有组织或国家级层面的参与。Grinex 已向主管部门报告了该事件,并正在评估损失。
GateNewsمنذ 11 س
تيثر تجمّد 3.29 مليون دولار أمريكي من USDT المرتبطة باستغلال Rhea Finance
تيثر جمدت 3.29 مليون دولار أمريكي مرتبطة بـ USDT عبر استغلال Rhea Finance، بما يضمن حماية المستخدمين وتعزيز الثقة في النظام البيئي. مكّنت أدوات تتبع البلوك تشين من تنفيذ هذا الإجراء ضد المحافظ المشبوهة بعد أن نقل المهاجمون الأموال بهدف التهرب من اكتشافها.
GateNewsمنذ 12 س
