تعرض زاك كول، أحد مطوري Ethereum الأساسيين، مؤخراً لعملية احتيال إلكتروني، حيث قام المهاجم بإخفاء رابط على هيئة دعوة للمشاركة في بودكاست. ووفقاً لزاك، اعتمدت المحاولة على نطاقات وهمية وبرنامج تثبيت خبيث لسرقة بياناتdentالعملات المشفرة وبيانات أخرى من حاسوبه.
كتب كول سلسلة من 21 مشاركة على موقع X في وقت متأخر من يوم الاثنين، بدأ فيها بشرح كيف بدأت عملية الاحتيال برسالة مباشرة على موقع X تدعوه إلى "الانضمام إلى البودكاست الخاص بنا!"
٢١/٢
— zak.eth (@0xzak) 15 سبتمبر 2025
بدأ كل شيء برسالة خاصة على تويتر تدعوني للانضمام إلى بودكاستنا!
المهاجم (@0xMauriceWang) شخصية من @theempirepod. بدا الأمر موثوقًا بعد نظرة سريعة، فوافقت. ثم وصلتني رسالة بريد إلكتروني من [email protected] مع رابط @StreamYard. نص الرسالة يقول... pic.twitter.com/fEvazOVFs5
قام المرسل، الذي يستخدم اسم المستخدم @0xMauriceWang على منصة التواصل الاجتماعي، بانتحال صفة ممثل لبودكاست إمباير التابع لشركة بلوك وورك، وأتبع ذلك برسالة بريد إلكتروني مما وصفه زاك بأنه "نطاق بودكاست شرعي"
حاول المحتال "مساعدة" زاك في تثبيت تطبيق خبيث
بحسب مطوّر إيثر الأساسي، احتوت الرسالة الإلكترونية على رابطٍ مُصوّرٍ على أنه streamyard.com، ولكنه في الواقع كان رابطًا تشعبيًا إلى streamyard.org. عندما نقر كول على الرابط، ظهرت له رسالة "خطأ في الانضمام" وطلبت منه تنزيل تطبيق سطح المكتب للمتابعة.
في لقطات الشاشة التي شاركها كول في موضوعه على X، رفض في البداية تثبيت البرنامج بسبب سياسات الأمان الخاصة بشركته، لكن المهاجم توسل إليه لإضافته "لمرة واحدة فقط"، حتى أنه أرسل مقطع فيديو تعليميًا لتوضيح كيفية تثبيت التطبيق المزعوم.
يا صديقي، إنه StreamYard، لديهم أكثر من 3 ملايين مستخدم. لديّ حاسوب محمول من الشركة أيضًا، لكن كل شيء على ما يرام. نسخة المتصفح بالكاد تعمل، ربما محاولة واحدة من كل 20 محاولة تنجح. أنا متأكد تمامًا أنهم يبقونها كأداة تسويقية، لكن في الواقع ينتهي الأمر بالجميع باستخدام تطبيق سطح المكتب. إنه أكثر استقرارًا بكثير..." هكذا جاء في الرسالة.
عندها رأى كول "علامات تحذيرية في كل مكان"، وقام بتنزيل الحزمة على جهاز مختبر خاضع للرقابة بدلاً من جهاز الكمبيوتر الخاص بعمله.
داخل ملف DMG، وجد ملفًا ثنائيًا مخفيًا من نوع Mach-O باسم ".Streamyard"، ومحمل Bash، وأيقونة طرفية مزيفة تهدف إلى خداع المستخدمين لسحبها للحصول على وصول على مستوى النظام.
وصف برنامج التحميل بأنه "دمية روسية متداخلة من الهراء"، موضحًا كيف يقوم بدمج أجزاء base64، وفك تشفيرها باستخدام مفتاح، ثم إعادة ترميز النتيجة، وتنفيذها. كل خطوة كانت تهدف إلى التهرب من اكتشاف برامج مكافحة الفيروسات.
"بعد فك تشفيرها دون اتصال بالإنترنت، كانت المرحلة الثانية عبارة عن برنامج AppleScript يقوم بالعثور على وحدة التخزين المثبتة، ونسخ ملف .Streamyard إلى /tmp/.Streamyard، وإزالة الحجر الصحي باستخدام xattr -c، ثم chmod +x، ثم التنفيذ. صامت، دقيق، وقاتل"، هكذا شرح المطور وهو يدون سطر الكود.
وأضاف كول أنه إذا قام الضحية بتعطيل بوابة macOS أو وقع ضحية لخدعة سحب Terminal للتصيد الاحتيالي، فإن البرامج الضارة ستكون قد سربت كل شيء بصمت، بما في ذلك كلمات المرور ومحافظ العملات المشفرة ورسائل البريد الإلكتروني والرسائل والصور.
كشفت المحادثة مع المهاجم عن خدمات برمجيات خبيثة مستأجرة
بدلاً من إيقاف العملية، انضم كول إلى مكالمة مباشرة مع المحتال بعد أن طلب منه المساعدة، والذي بدا متوتراً وقرأ من نص مكتوب أثناء محاولته إرشاده خلال عملية التثبيت المزيفة.
أثناء جلسة مكالمة الفيديو، بدأ مبرمج برنامج إيثر بمشاركة الشاشة، مستعرضاً مجلداً يحتوي على مقاطع فيديو فاضحة لكيم جونغ أون لإرباك المهاجم.
وبينما كان يلح على الحصول على إجابات حول سبب عدم نجاح الأمر، اعترف المحتال بأنه لم يكن جزءًا من عملية مدعومة من الدولة، ولكنه كان في مجتمع نشط من المتسللين الذين استأجروا مجموعة أدوات التصيد الاحتيالي مقابل حوالي 3000 دولار شهريًا.
أشار كول إلى أن المهاجم استخدم عبارات عامية مثل "يا صاحبي" لخداع الضحايا وإيهامهم بأنه مقيم في المملكة المتحدة أو بالقرب من الولايات المتحدة. كما كشف المهاجم أنه لا يتحكم بالبنية التحتية بشكل مباشر، ولا يستطيع إدارة نطاقات الحمولة، وأنه كان يستخدم "خدمة جرائم إلكترونية منخفضة التكلفة"
١٤/٢١
— zak.eth (@0xzak) 15 سبتمبر 2025
المفاجأة كانت استخدامهم https://t.co/3gJrz4EVIl للتوصيل (نقاط نهاية load.*.php?call=stream) و https://t.co/NqE3HGJVms (@streamyardapp) كطعم، وقد تم كشفهما الآن (شكرًا @_SEAL_Org). pic.twitter.com/B0zbCmxzpj
بحسب نتائج شركة VirusTotal المتخصصة في معلومات الأمن السيبراني التي تعتمد على مصادر جماعية، فإن البنية التحتية المستخدمة لتوزيع البرامج الضارة كانت موقع lefenari.com، الذي استضاف حمولات خبيثة عبر نقاط نهاية مُبرمجة، وموقع streamyard.org كطعم. وقد تم تعطيل كلا الموقعين الآن، بمساعدة من شركة Security Alliance المتخصصة في الأمن السيبراني.
