برمجيات خبيثة في صور SVG ظهرت ضمن اختبارات برمجة مزيفة تستهدف المطورين، وتخفي سرقة كلمات المرور والمحافظ الرقمية داخل ملفات تبدو عادية.
ما قصة برمجيات خبيثة في صور SVG التي تضرب المطورين؟
تكشف الحملة الأخيرة عن أسلوب خداعي يعتمد على عروض توظيف وهمية، ثم نقل الضحية إلى اختبار تقني يبدو مشروعاً واحترافياً. عند تشغيل الملفات، يبدأ الكود الضار بالعمل في الخلفية من دون مؤشرات واضحة للمستخدم.
وبحسب ما رصدته تيكبامين، فإن المهاجمين ركزوا على مطوري البرمجيات بشكل مباشر، مستغلين رغبتهم في التقديم على فرص عمل عن بُعد ومشاريع تقنية مغرية.
كيف تم إخفاء البرمجيات الخبيثة داخل صور الأعلام؟
اللافت هنا أن المستودعات لم تكن فارغة أو بدائية، بل احتوت على كود فعلي يعمل بصورة طبيعية. لكن الخطر كان مخفياً داخل ملفات SVG لأعلام دول، مثل ملفات تبدو كصور عادية داخل مجلد الأصول.
جرى تقسيم الحمولة الخبيثة إلى أجزاء مشفرة بصيغة Base64، ثم زرعها داخل تعليقات HTML في كل صورة تقريباً. بعد ذلك يقوم ملف JavaScript مخصص بتجميع هذه الأجزاء وتشغيلها بصمت.
- نوع الإخفاء: Steganography داخل ملفات SVG
- مكان الإخفاء: تعليقات HTML داخل صور الأعلام
- آلية التشغيل: تجميع الأجزاء عبر ملف JavaScript
- هدف التقنية: تجاوز أدوات الفحص التقليدية
ما الذي يحدث بعد تشغيل مشروع الاختبار الوهمي؟
سلسلة إصابة من أربع مراحل
عند تنفيذ المشروع المصاب، لا يتوقف الأمر عند تنزيل ملف واحد فقط، بل تبدأ سلسلة متعددة المراحل. هذا يعني أن الاختراق لا يهدف للإزعاج، بل لجمع أكبر قدر ممكن من البيانات الحساسة.
- سرقة بيانات المتصفح وبيانات تسجيل الدخول
- سرقة محافظ العملات الرقمية
- سرقة الملفات من الجهاز المصاب
- تنصيب باب خلفي للتحكم عن بُعد عبر Socket.IO
- سرقة محتوى الحافظة Clipboard
هذا النوع من الهجمات يرفع مستوى الخطر على المطورين العاملين في مشاريع Web وJavaScript، لأن تشغيل المستودعات واختبارها جزء طبيعي من سير العمل اليومي.
لماذا تستمر هذه الهجمات ضد المطورين منذ 2022؟
السبب بسيط: المطور يمتلك عادة مفاتيح وصول، وبيانات بيئات سحابية، ومحافظ رقمية، وحسابات عمل حساسة. لذلك يصبح هدفاً عالي القيمة مقارنة بالمستخدم التقليدي.
الحملة مرتبطة بنمط هجمات اجتماعية مستمر منذ ديسمبر 2022، لكن الجديد في 2026 هو توسيع قنوات الوصول الأولي، بما في ذلك الرسائل داخل مجتمعات العمل التقنية وقنوات التوظيف.
كيف يحمي المطور نفسه من برمجيات خبيثة في صور SVG؟
الحماية تبدأ من التشكيك في أي اختبار توظيف يطلب تشغيل مشروع غير موثق أو تحميل مستودع من جهة مجهولة. كما يجب فحص ملفات SVG وJavaScript غير المتوقعة داخل أي مشروع قبل التنفيذ.
- عدم تشغيل مستودعات التوظيف على الجهاز الأساسي
- استخدام بيئة معزولة أو آلة افتراضية للاختبار
- مراجعة ملفات SVG وScripts قبل التشغيل
- تعطيل الوصول إلى المحافظ والحسابات الحساسة أثناء الاختبار
- تحديث حلول الحماية ومراقبة الاتصالات الشبكية
في النهاية، تؤكد تيكبامين أن برمجيات خبيثة في صور SVG لم تعد حيلة نظرية، بل تهديداً عملياً يستهدف المطورين وسرقة الأصول الرقمية والبيانات في هجمات يصعب ملاحظتها مبكراً.