يكشف Bybit Security عن حملة برامج ضارة لنظام التشغيل MacOS تستهدف المستخدمين الذين يبحثون عن Claude Code

كشفت Bybit عن تفاصيل حملة برامج ضارة متعددة المراحل لنظام التشغيل MacOS تستهدف المستخدمين الذين يبحثون عن "Claude Code"، وهي أداة تطوير مدعومة بالذكاء الاصطناعي من Anthropic، وفقًا للنتائج التي نشرها مركز العمليات الأمنية (SOC) وتمت مشاركتها مع Finbold في 21 أبريل.

وقالت الشركة إن الحملة تمثل واحدة من أولى الحالات الموثقة علنًا والتي حددت فيها بورصة العملات المشفرة المركزية (CEX) وحللت تهديدًا نشطًا يستغل قنوات اكتشاف أدوات الذكاء الاصطناعي لاستهداف المطورين.

وفقًا لـ Bybit، تم تحديد الحملة لأول مرة في مارس 2026 واعتمدت على تسميم تحسين محركات البحث (SEO) لرفع نطاق ضار إلى أعلى نتائج بحث Google. تمت إعادة توجيه المستخدمين الذين يبحثون عن "Claude Code" إلى صفحة تثبيت مخادعة مصممة لتشبه الوثائق الشرعية إلى حد كبير.

تستهدف سلسلة البرامج الضارة متعددة المراحل بيانات الاعتماد ومحافظ التشفير

وجد تحليل Bybit أن الهجوم نشر سلسلة من البرامج الضارة من مرحلتين. تم تسليم الحمولة الأولية عبر قطارة Mach-O، حيث تم تثبيت أداة سرقة المعلومات المستندة إلى osascript والتي تعرض خصائص مشابهة لمتغيرات AMOS وBanshee المعروفة.

نفّذ برنامج سرقة المعلومات عملية تشويش متعددة المراحل لاستخراج البيانات الحساسة، بما في ذلك بيانات اعتماد المتصفح، وإدخالات سلسلة مفاتيح macOS، وجلسات Telegram، وملفات تعريف VPN، ومعلومات محفظة العملة المشفرة. حدد باحثو Bybit محاولات الوصول المستهدفة ضد أكثر من 250 امتدادًا للمحفظة المستندة إلى المتصفح، بالإضافة إلى العديد من تطبيقات المحفظة المكتبية.

قدمت حمولة المرحلة الثانية بابًا خلفيًا يستند إلى C++ ويتميز بتقنيات تهرب متقدمة مثل اكتشاف وضع الحماية وتكوين وقت التشغيل المشفر. أثبتت البرمجيات الخبيثة استمراريتها من خلال وكلاء على مستوى النظام ومكّنت تنفيذ الأوامر عن بعد عبر الاقتراع المستند إلى HTTP، مما يسمح للمهاجمين بالحفاظ على التحكم المستمر في الأجهزة المخترقة.

وكشف التحقيق أيضًا عن أساليب الهندسة الاجتماعية، بما في ذلك مطالبات كلمة مرور macOS المزيفة المستخدمة للتحقق من صحة بيانات اعتماد المستخدم وتخزينها مؤقتًا. في بعض الحالات، حاول المهاجمون استبدال تطبيقات المحفظة الشرعية مثل Ledger Live وTrezor Suite بإصدارات طروادة مستضافة على بنية تحتية ضارة.

يعمل التحليل المدعوم بالذكاء الاصطناعي على تسريع الاكتشاف والاستجابة

قالت Bybit إن مركز عمليات الأمن (SOC) الخاص بها استفاد من سير العمل المدعوم بالذكاء الاصطناعي عبر دورة حياة تحليل البرامج الضارة الكاملة، مما أدى إلى تقليل أوقات الاستجابة بشكل كبير مع الحفاظ على العمق التحليلي. تم الانتهاء من الفرز والتصنيف الأولي لعينة Mach-O في غضون دقائق، حيث أشارت نماذج الذكاء الاصطناعي إلى أوجه التشابه السلوكية مع عائلات البرامج الضارة المعروفة.

وفقًا للشركة، أدى تحليل الهندسة العكسية والتحكم في التدفق بمساعدة الذكاء الاصطناعي إلى تقليل الفحص العميق للباب الخلفي للمرحلة الثانية من ما يقدر بست إلى ثماني ساعات إلى أقل من 40 دقيقة. وحددت خطوط الاستخراج الآلية مؤشرات التسوية، بما في ذلك البنية التحتية للقيادة والسيطرة، وتوقيعات الملفات، والأنماط السلوكية، والتي تم تعيينها لأطر التهديد القائمة.

مكنت هذه القدرات من نشر تدابير الكشف في نفس اليوم. دعم إنشاء القواعد بمساعدة الذكاء الاصطناعي إنشاء توقيعات التهديد وقواعد الكشف عن نقطة النهاية، والتي تم التحقق من صحتها من قبل المحللين قبل دفعها إلى بيئات الإنتاج. وقالت بايبيت إن مسودات التقارير التي تم إنشاؤها بواسطة الذكاء الاصطناعي قللت من وقت الاستجابة، مما يسمح بالانتهاء من مخرجات الاستخبارات المتعلقة بالتهديدات بشكل أسرع بنسبة 70٪ تقريبًا من سير العمل التقليدي.

وقال ديفيد زونغ، رئيس إدارة المخاطر والأمن في بايبيت: "باعتبارنا واحدة من أولى بورصات العملات المشفرة التي قامت بتوثيق هذا النوع من حملات البرمجيات الخبيثة علنًا، فإننا نعتقد أن مشاركة هذه النتائج أمر بالغ الأهمية لتعزيز الدفاع الجماعي عبر الصناعة". "يسمح لنا مركز عمليات العمليات (SOC) المدعوم بالذكاء الاصطناعي لدينا بالانتقال من الاكتشاف إلى الرؤية الكاملة لسلسلة القتل ضمن نافذة تشغيلية واحدة. ما كان يتطلب فريقًا من المحللين الذين يعملون عبر نوبات عمل متعددة - التفكيك، واستخراج IOC، وصياغة التقارير، وكتابة القواعد - تم الانتهاء منه في جلسة واحدة حيث يتعامل الذكاء الاصطناعي مع الأحمال الثقيلة ويقدم محللونا الحكم والتحقق. وبالنظر إلى المستقبل، سنواجه حرب الذكاء الاصطناعي. يعد استخدام الذكاء الاصطناعي للدفاع ضد الذكاء الاصطناعي اتجاهًا لا مفر منه. ستزيد بايبيت من استثماراتها في الذكاء الاصطناعي من أجل الأمن، مما يحقق الكشف عن التهديدات على المستوى الدقيق والاستجابة الآلية والذكية للطوارئ.

استهدفت البرامج الضارة مجموعة واسعة من البيئات، بما في ذلك المتصفحات المستندة إلى Chromium، ومتغيرات Firefox، وبيانات Safari، وApple Notes، وأدلة الملفات المحلية المستخدمة بشكل شائع لتخزين المعلومات المالية أو معلومات المصادقة الحساسة.

وقالت Bybit إنها حددت نطاقات متعددة ونقاط نهاية للقيادة والتحكم المرتبطة بالحملة، والتي تم إلغاء الكشف عنها جميعًا منذ ذلك الحين للكشف عنها للعامة. وأشار التحليل إلى أن المهاجمين اعتمدوا على استقصاء HTTP المتقطع بدلاً من الاتصالات المستمرة، مما يجعل الكشف أكثر صعوبة.

وفقًا لـ Bybit، تم تحديد البنية التحتية الضارة المرتبطة بالحملة في 12 مارس. وتم إجراء تحليل كامل وإجراءات التخفيف والكشف الداخلي.