حملة شرسة: مواقع وهمية لـ Claude Code تسرق بيانات المطورين

احذروا! يبدو أن هناك حملة برمجيات خبيثة متطورة تستهدف المطورين الباحثين عن تعليمات تثبيت Claude Code، حيث تنتحل مواقع وهمية صفة أدوات الذكاء الاصطناعي الشرعية لسرقة بيانات حساسة.
اكتشف باحثون عشرات المواقع المزيفة التي تدعي أنها تقدم أدوات Claude Code ومنصات مطورين، لكنها في الواقع مصممة لسرقة بيانات الاعتماد، ومفاتيح API، والعملات المشفرة. وتعتمد هذه الحملة على الثقة غير المشروطة التي تسهل اعتماد أدوات المطورين للذكاء الاصطناعي، حيث يكفي نسخ أمر ولصقه في الطرفية لتكون قد وقعت ضحية.
تستهدف الحملة مستخدمي أدوات الذكاء الاصطناعي والمطورين الشهيرة مثل Claude Code، وCline، وJetBrains، وSnowflake، وPerplexity Comet منذ مارس 2026. تعتمد العملية على أكثر من 88 نطاقًا موزعًا عبر منصات موثوقة، ويتم تدوير البنية التحتية باستمرار لضمان ظهور المواقع الخبيثة بسرعة بعد حجبها.
لجذب الضحايا، يستخدم المهاجمون تقنيات مثل تسميم محركات البحث (SEO poisoning)، وسلاسل إعادة التوجيه، وإعلانات Google المدفوعة التي تضع صفحات التثبيت الاحتيالية فوق الوثائق الشرعية في نتائج البحث. تحاكي هذه المواقع موارد البائعين الأصلية بدقة، وتقدم أوامر تثبيت تبدو طبيعية ولكنها تحتوي على فواصل مخفية (مثل &) تنفذ إجراءات خبيثة بالتوازي مع تثبيت البرنامج المتوقع. في كثير من الحالات، يتم تنفيذ الأمر الشرعي بنجاح، مما يساعد على إخفاء عملية الاختراق.
لاحظ الباحثون مجموعة متنوعة من تقنيات التسليم، بما في ذلك تحميل ملفات DLL خبيثة باستخدام rundll32.exe، وإساءة استخدام mshta.exe، والأوامر المشفرة بـ Base64، والبرامج النصية المستضافة على GitHub، والحمولات القائمة على JavaScript. من خلال تدوير هذه الأساليب، يحسن المهاجمون قدرتهم على التهرب من أدوات الكشف التقليدية. على عكس برامج سرقة المعلومات المعتادة، تستهدف هذه الحملة أصول الذكاء الاصطناعي، بما في ذلك مفاتيح API ورموز المصادقة وبيانات اعتماد التطوير السحابي من أدوات مثل Cline وContinue.dev.
بمجرد التنفيذ، تنشر البرمجيات الخبيثة سلسلة عدوى متعددة المراحل تتميز باتصالات مشفرة مع خوادم القيادة والتحكم (C2)، وتقنيات تنفيذ بدون ملفات، وقدرات مضادة للتحليل، ووظائف سرقة بيانات الاعتماد. حدد الباحثون الحمولات الأساسية بأنها ACRStealer، وهي عائلة برمجيات خبيثة لسرقة المعلومات تطورت لتشمل آليات تشفير وتجنب متقدمة. يمكن للبرمجيات الخبيثة سرقة بيانات اعتماد الذكاء الاصطناعي، وكلمات مرور المتصفح، وبيانات مدير كلمات المرور، وبيانات اعتماد VPN، ومحافظ العملات المشفرة، وبيانات تطبيقات المراسلة، والملفات الحساسة. كما وجد الباحثون برنامجًا خبيثًا لاستبدال حافظة العملات المشفرة يعيد توجيه المعاملات عن طريق استبدال عناوين المحافظ المنسوخة.