تتعاون الجهات الفاعلة الضارة مع أدوات الترميز المشروعة لنشر تهديدات العملة الرقمية المعقدة

جدول المحتويات يظهر تهديد سيبراني متطور عندما تقوم الجهات الفاعلة الخبيثة بتسليح مكونات Obsidian الإضافية لتقديم برامج ضارة مخفية من خلال مخططات هندسة اجتماعية معقدة. تستهدف هذه الحملة الهجومية على وجه التحديد المتخصصين في القطاع المالي وتنتشر عبر اتصالات LinkedIn وTelegram. بالإضافة إلى ذلك، يتيح استغلال مكونات Obsidian الإضافية للجهات الفاعلة في مجال التهديد إمكانية تجنب أنظمة الكشف وتشغيل تعليمات برمجية غير مصرح بها قابلة للتنفيذ. تقوم الجهات التهديدية بإجراء اتصال أولي عبر LinkedIn، منتحلين صفة ممثلي رأس المال الاستثماري الذين يركزون على أهداف صناعة العملات المشفرة. تنتقل الاتصالات بعد ذلك إلى منصات Telegram، حيث تقوم الملفات الشخصية المزيفة المنسقة بإنشاء واجهة عمل حقيقية. يتلقى الضحايا تعليمات مقنعة لاستخدام لوحات المعلومات التعاونية التي تدعمها مكونات Obsidian الإضافية. يقوم الخصوم بتأطير Obsidian كحل قاعدة بيانات على مستوى المؤسسات مصمم للتعاون في القطاع المالي. تتلقى الأهداف بيانات اعتماد المصادقة التي تمنح الوصول إلى المستودعات المستضافة على السحابة والتي يتحكم فيها المهاجم. عند الوصول إلى هذه المستودعات، يواجه الضحايا توجيهات ترشدهم إلى تفعيل قدرات مزامنة Obsidian Plugins. يؤدي هذا الإجراء الحاسم إلى بدء تسلسل التسوية، حيث تقوم مكونات Obsidian الإضافية المسلحة بتنفيذ حمولات ضارة سرًا. يستفيد الهجوم من وظيفة البرنامج الإضافي الأصلي لتشغيل التعليمات البرمجية مع التهرب من المراقبة الأمنية. يتلاعب الخصوم بعمليات البرامج المشروعة بدلاً من نشر تقنيات توزيع البرامج الضارة التقليدية. اكتشف الباحثون في Elastic Security Labs حصان طروادة المتقدم للوصول عن بعد والمسمى PHANTOMPULSE. يعمل هذا التهديد عبر بيئات Windows وmacOS باستخدام منهجيات تنفيذ متميزة. تستخدم البرامج الضارة مكونات Obsidian الإضافية كآلية تسلل أساسية لتوزيع الحمولة. وفي بيئات Windows، تنفذ البرامج الضارة مكونات أداة التحميل المشفرة واستراتيجيات التنفيذ المقيمة في الذاكرة لتجنب آليات الكشف. يستخدم التهديد حماية التشفير AES-256 ومنهجيات التحميل العاكسة للحفاظ على التخفي طوال العملية. تتلقى أهداف macOS آليات تسليم AppleScript غامضة تتميز ببنية أساسية زائدة عن الحاجة للأوامر. تطبق PHANTOMPULSE بنية أوامر موزعة باستخدام معاملات blockchain للاتصالات التشغيلية. يتم استخراج تعليمات الأوامر من البيانات المتسلسلة المرتبطة بالمحفظة والتي تمتد عبر شبكات blockchain متعددة. وبالتالي، فإن البرمجيات الخبيثة تلغي الاعتماد على البنية التحتية المركزية وتحافظ على استمرارية العمليات على الرغم من جهود الحظر. تستمر منصات العملات المشفرة في جذب الخصوم بسبب خصائص المعاملات التي لا رجعة فيها والتقييمات الكبيرة للمحفظة. طوال عام 2025، قام مجرمو الإنترنت بتسريب ما يزيد عن 713 مليون دولار من محافظ العملات المشفرة الفردية، مما يؤكد تصاعد نقاط الضعف. تزود مكونات Obsidian الإضافية المهاجمين بتقنيات مبتكرة للتحايل على آليات الحماية المعمول بها. توضح هذه الحملة كيف تتحول تطبيقات الإنتاجية الموثوقة إلى عوامل تسوية من خلال الاستغلال. يتلاعب الخصوم بأطر المكونات الإضافية لتنفيذ تعليمات برمجية غير مصرح بها دون تفعيل أنظمة مراقبة الأمان التقليدية. يجب على المؤسسات تنفيذ بروتوكولات مراقبة وتقييد شاملة تحكم استخدام المكونات الإضافية التابعة لجهات خارجية ضمن سياقات تشغيلية حساسة. يدعو متخصصو الأمن حاليًا إلى تنفيذ أطر عمل صارمة لإدارة المكونات الإضافية وتقييد اتصال الخزينة الخارجية. كما يوصون أيضًا بالتحقق الشامل من أصول الاتصال قبل تثبيت أو تنشيط مكونات Obsidian الإضافية. يشكل تعزيز الوعي وضوابط الوصول تدابير وقائية أساسية ضد تقدم منهجيات الهندسة الاجتماعية.