نظام CAPTCHA مزيف يسرق العملات المشفرة من مستخدمي macOS

يواجه مستخدمو العملات الرقمية تهديدًا أمنيًا جديدًا عبر صفحات CAPTCHA مزيفة تابعة لشركة Cloudflare. يؤدي هذا الهجوم إلى تثبيت برنامج خبيث جديد يُدعى Infiniti Stealer، مصمم لسرقة بيانات محافظ العملات الرقمية من أنظمة macOS. 

هذا يعني أن أي مطور أو مستخدم للعملات المشفرة لديه جهاز كمبيوتر مكتبي من نوع MacBook أو Mac معرض لخطر الإصابة بهذا البرنامج الضار.

هجوم ClickFix يبدأ إصابة نظام macOS

اكتشف باحثو الأمن من شركة Malwarebytes هذه الحملة. وتم الكشف لاحقاً عن لوحة تحكم البرنامج الخبيث، والتي كشفت عن اسمه: Infinite Stealer.

يتم نشر برنامج سرقة المعلومات عبر هجوم ClickFix، وهو هجوم يُصنف ضمن هجمات الهندسة الاجتماعية. يقوم هذا الهجوم بخداع المستخدمين لحملهم على تنفيذ أوامر ضارة بأنفسهم، بدلاً من اختراق أجهزتهم مباشرةً، حيث يقنعهم بتنفيذها نيابةً عنهم.

يبدأ الهجوم بصفحة CAPTCHA مزيفة من موقع update-check[.]com. تبدو الصفحة كصفحة تحقق بشري تابعة لشركة Cloudflare، لكنها ليست كذلك. بعد النقر على صفحة CAPTCHA المزيفة، يُطلب من المستخدم فتح نافذة Terminal ولصق أمر برمجي.

هذا الأمر ليس عملية تحقق. إنه برنامج تثبيت مخفي يقوم بتنزيل وتشغيل البرامج الضارة على جهاز المستخدم.

تنجح هذه الهجمة لأن المستخدم هو من ينفذ الأمر. وهي تتجاوز وسائل الحماية التقليدية لعدم وجود ثغرة أمنية.

بمجرد تنفيذ الأمر، يتصل بخادم بعيد يتحكم به المهاجم، والذي يقوم بتنزيل برنامج Infiniti Stealer وتثبيته خلسةً على جهاز Mac. لا توجد نوافذ منبثقة، ولا تحذيرات، فقط تثبيت صامت.

يقول باحثو الأمن إن تحليل هذا البرنامج الخبيث واكتشافه أمرٌ صعب لأنه مُدمج في ملف تنفيذي أصلي لنظام macOS. فهو ليس مجرد نص برمجي مكتوب بلغة بايثون يمكن قراءته وفهمه بسهولة.

البرامج الضارة لسرقة البيانات الحساسة من أجهزة Mac، بما في ذلك بيانات محفظة العملات المشفرة،dentمن المتصفحات وسلسلة مفاتيح macOS، والأسرار النصية العادية في ملفات المطورين، وحتى لقطات الشاشة التي تم التقاطها أثناء التنفيذ.

يتحقق البرنامج أيضًا مما إذا كان يعمل في بيئة تحليل لتجنب اكتشافه، ويرسل البيانات المسروقة إلى خادم المهاجم. تُرسل إشعارات عبر تطبيق تيليجرام إلى المهاجم عند اكتمالtracالبيانات، وتُضاف بياناتdentالملتقطة إلى قائمة انتظار لفك تشفير كلمات المرور من جانب الخادم.

تُعدّ هجمات ClickFix شائعة على نظام ويندوز، لكنّ المخترقين يُطوّرونها الآن لتستهدف أجهزة أبل. لم تعد أنظمة ماك أو إس تُعتبر آمنة من البرامج الضارة. لذا، ينبغي على مستخدمي العملات الرقمية توخي الحذر عند تصفح الإنترنت، وعدم نسخ أو لصق أي أوامر في تطبيق Terminal من مصادر غير موثوقة.

ارتفاع حاد في اختراقات محافظ العملات الرقمية الشخصية

ليست هذه أول هجمة متطورة تستهدف مستخدمي العملات الرقمية على نظام macOS. Cryptopolitan في مارس الماضي تقريراً عن برنامج GhostClawالخبيث الجديد الذي يستهدف نظام macOS، والذي يسرق المفاتيح الخاصة، وبيانات الوصول إلى المحافظ الرقمية، وغيرها من البيانات الحساسة.

تم إدراج البرمجية الخبيثة على npm، وهو مدير حزم شهير للغة جافا سكريبت. انتحلت هذه البرمجية صفة أداة OpenClaw حقيقية، لكنها في الواقع شنت هجومًا متعدد المراحل. قام 178 مطورًا بتنزيل الحزمة الخبيثة قبل إزالتها من السجل.

تم سرقة ما مجموعه 3.4 مليار دولار من صناعة العملات المشفرة في عام 2025.

"لقد نمت عمليات اختراق المحافظ الشخصية بشكل كبير، حيث ارتفعت من 7.3٪ فقط من إجمالي القيمة المسروقة في عام 2022 إلى 44٪ في عام 2024"، وفقًا لتقرير صادر عن شركة Chainalysis المتخصصة في أمن تقنية البلوك تشين.

كان من الممكن أن تصل نسبة عمليات الاختراق على المحافظ الشخصية إلى 37% في عام 2025 لولا التأثير الهائل لهجوم Bybit.