يخفي المهاجمون حصان طروادة لسرقة البيانات داخل كود استغلال مزيف يستهدف الأشخاص الذين يصطادون الأخطاء من أجل لقمة العيش. البرمجيات الخبيثة، ودعا شوكوبوك، ينتقل في مستودعات إثبات المفهوم (PoC) الخاصة بـ Python على GitHub والتي تدعي أنها تستغل التهديدات الشائعة الجديدة.
قم بتشغيل واحد، وسيقوم برفع كلمات المرور المحفوظة وملفات تعريف الارتباط والملفات الخاصة بالمتصفح بهدوء، ثم يمنح المهاجم غلافًا على جهازك. نشرت YesWeHack وSekoia نتائجهما المشتركة في الأول من يوليو/تموز، وحذرتا من أنه اعتبارًا من ذلك التقرير، لا تزال البرامج الضارة وخوادمها موجودة، لذا لا تقم بتشغيل أي من إثباتات المفهوم (PoCs).
الحيلة هي المكان الذي يوجد فيه الكود. يبدو PoC المرئي نظيفًا. تختبئ البرامج الضارة في حزمة Python التي يسحبها إثبات المفهوم (PoC) باعتبارها تبعية، لذلك تتخطى مراجعة سريعة للتعليمات البرمجية.
كيف يعمل الفخ
الطعم هو ضغط الوقت. عندما يقع عيب كبير، يتسابق الباحثون لاختباره والاستيلاء على نقاط إثبات المفهوم (PoCs) المجتمعية للتحرك بسرعة. هذه الحملة تحول هذه العادة إلى طريق للعدوى.
السلسلة بعبارات واضحة:
- يمكنك استنساخ الريبو وتشغيل تثبيت النقطة لجلب متطلبات PoC.
- يؤدي ذلك إلى سحب حزمة تسمى frint، والتي بدورها تسحب حزمة ثانية، وهي skytext.
- يرسل Skytext ملفًا صغيرًا مُجمَّعًا (gradient.so على Linux، gradient.pyd على Windows) يتم تشغيله لحظة تشغيل PoC.
- فهو يستيقظ فقط عندما يرى إثبات المفهوم (PoC) الحقيقي محملاً، ويتحقق من وجود ملف باسم EXPLOIT_POC.py أو ما شابه، ثم يفك حمولته وينزل حصان طروادة.
هذا الفحص الأخير هو السبب في أن صندوق الرمل العادي لا يرى شيئًا. قم بتفجير الحزمة من تلقاء نفسها، دون وجود إثبات المفهوم الكامل حولها، وتبقى البرامج الضارة في حالة سبات.
ما يسرق ويفعل
بمجرد تشغيله، يصبح ChocoPoC عبارة عن حصان طروادة كامل الوصول عن بعد. فهو يسحب كلمات المرور المحفوظة وملفات تعريف الارتباط والملء التلقائي والسجل من Chrome وBrave وEdge وFirefox. فهو يلتقط الملفات النصية والملاحظات وقواعد البيانات المحلية، بالإضافة إلى سجل الصدفة وإعدادات الشبكة وقائمة العمليات الجارية.

يمكن للمهاجم أيضًا تشغيل أي أمر Shell، وتشغيل Python بشكل عشوائي، وسحب مجلدات كاملة، وإبطاء البرامج الضارة حتى تظل هادئة. توجد العديد من أسماء الأوامر باللغة الإسبانية، ويحتوي الكود على أخطاء صغيرة، قرأها الباحثون على أنها مكتوبة بخط اليد وليست من صنع الذكاء الاصطناعي.
ومن أجل التحكم، تختبئ البرامج الضارة على مرأى من الجميع. فهو يقرأ أوامره من مجموعة بيانات على Mapbox، وهي خدمة رسم خرائط عادية، ويستخدمها كنقطة ميتة. فهو يحل هذا العنوان عبر DNS-over-HTTPS ويستخدم خدعة واجهة المجال، بحيث تبدو حركة المرور مثل مكالمات Mapbox API العادية. تذهب التحميلات الأكبر حجمًا إلى خادم منفصل على 91.132.163.78.
إلى أي مدى انتشرت
عثرت YesWeHack وSekoia على ما لا يقل عن سبعة مستودعات PoC مزيفة، كل منها مرتبط بعيب كبير:
- اجتياز مسار FortiWeb (CVE-2025-64446)
- React2Shell (CVE-2025-55182)
- مونجوبليد (CVE-2025-14847)
- تجاوز مصادقة PAN-OS (CVE-2026-0257)
- حقنة أمر Ivanti Sentry (CVE-2026-10520)
- تجاوز مصادقة Check Point VPN (CVE-2026-50751)
- Joomla SP Page Builder RCE (CVE-2026-48908)
تم تنزيل حزمة Skytext وحدها حوالي 2400 مرة، معظمها على Linux. ولا تثبت التنزيلات إصابة أي شخص بالفيروس، لكنها ارتفعت مباشرة بعد ظهور فيروسات مكافحة التطرف العنيف الرئيسية، وهو ما يناسب الإغراء.

استخدمت حملة سابقة لنفس الحملة، تعود إلى أواخر عام 2025، حزمتين أخريين، slogsec وlogcrypt.cryptography، برمز شبه متطابق. يقيم سيكويا بثقة عالية أن أحد الممثلين يقف وراء كليهما، بناءً على علامات التحكم المعاد استخدامها.
وتقول إن المشغل قام بالتناوب عبر حسابات GitHub، وPyPI، وMapbox، والتي تم إنشاء العديد منها من عمليات تسجيل الدخول المسربة أو المسروقة. لم يتم تسمية أي مجموعة معروفة.
يشكل الباحثون الأمنيون هدفًا غنيًا. إنهم يقومون بتشغيل تعليمات برمجية غير موثوقة حسب التصميم، وغالبًا ما يكون ذلك بامتيازات عالية، كما تحتوي أجهزتهم على بيانات اعتماد العميل، والتقارير الخاصة، وتفاصيل الارتباطات المباشرة. قم بالتسوية بواحدة، ويمكنك الوصول إلى ما هو أبعد من جهاز كمبيوتر محمول واحد.
أظهرت حملة MUT-1244 المردود، باستخدام مستودعات PoC المزيفة لسرقة مفاتيح SSH وبيانات الاعتماد السحابية من أعضاء الفريق الأحمر والباحثين.
هذه ليست فكرة جديدة، بل مجرد غلاف جديد. قامت مجموعة Lazarus في كوريا الشمالية باستمالة الباحثين لسنوات، حيث تظاهرت بأنها زملاء من صائدي الأخطاء وشحنت مشاريع Visual Studio الضارة في عام 2021، ثم أحرقتهم في عام 2023، مع موجات جديدة منذ ذلك الحين.
ومن ناحية جرائم السلع الأساسية، عثرت Trend Micro على إثبات المفهوم (PoC) مزيف لثغرة Windows LDAP (CVE-2024-49113) التي سرقت بيانات الباحثين في أوائل عام 2025، ودفعت حملة منفصلة أجهزة إثبات المفهوم (CVE PoC) المزيفة التي تحمل حصان طروادة يسمى WebRAT في أواخر عام 2025، والتي أصابت في الغالب الطلاب والمختبرين المبتدئين.
ما يضيفه ChocoPoC هو مكان الاختباء. تعيش البرامج الضارة في حالة تبعية، لذا يظل إثبات المفهوم (PoC) الذي تقرأه بالفعل نظيفًا. وكما قال الباحثون، فإن البرمجيات الخبيثة في حد ذاتها هي أخبار قديمة، ولكن “ما يتغير هو آلية التسليم”.
ماذا تفعل الآن
- تعامل مع أي إثبات مفهوم (PoC) على أنه معادٍ حتى يثبت العكس، وابتعد عن التعليمات البرمجية الواردة من الحسابات الجديدة أو غير المعروفة.
- اقرأ سلسلة التبعية الكاملة، وليس فقط ملف إثبات المفهوم (PoC). راقب الحزم المنشورة حديثًا، والمشرفين غير المألوفين، والحسابات ذات التاريخ المخفي.
- اختبر فقط في جهاز افتراضي مهمل، ولكن تذكر أن العزلة وحدها لن تؤدي إلى تعثر هذا الجهاز. الإصلاح الحقيقي هو عدم تثبيت الحزم على الإطلاق.
- تحقق من أنظمتك بحثًا عن frint وskytext وslogsec وlogcrypt.cryptography، بالإضافة إلى تجزئات الملف في التقرير. إذا قمت بتشغيل أي منها، فقم بتدوير بيانات الاعتماد وأعد بناء المضيف.
الخطر الأكبر هو المصب. تستهدف هذه الإغراءات الباحثين الذين يقدمون عمليات الكشف ونقاط الاتصال (PoCs) لأطر عمل مثل Nuclei وMDUT. تشير “سيكويا” إلى خطر حدوث ضربة مزدوجة في سلسلة التوريد: تسميم أحد الباحثين، ويمكن للبرمجة السيئة أن تدخل في إطار عمل يثق به آلاف الآخرين.
