رصد خبراء الأمن الرقمي برمجيات خبيثة جديدة تُعرف باسم ZiChatBot، تستهدف مستخدمي ويندوز ولينكس عبر حزم ملغومة في مستودع PyPI الشهير للغة البرمجة بايثون.
كشف تقرير جديد تابعه موقع تيكبامين عن حملة منظمة تستهدف المبرمجين والمطورين من خلال ثلاثة حزم برمجية خبيثة تم رفعها على مستودع PyPI. هذه الحزم مصممة لتبدو وكأنها أدوات برمجية مفيدة، لكنها في الحقيقة تعمل كبوابة لتثبيت برمجيات ZiChatBot الخبيثة التي تمنح المخترقين سيطرة كاملة على الأجهزة المصابة.
ما هي الحزم الملغومة المكتشفة في مستودع PyPI؟
تم رفع الحزم الخبيثة في الفترة ما بين 16 و22 يوليو 2025، وهي تتبع استراتيجية هجوم سلاسل التوريد لتمويه نشاطها التخريبي. وتضمنت القائمة الحزم التالية:
- uuid32-utils: تدعي تقديم وظائف لمعالجة المعرفات الفريدة.
- colorinal: حزمة خبيثة تستهدف إضافة ألوان للنصوص البرمجية.
- termncolor: حزمة تبدو حميدة لكنها تعتمد على حزمة colorinal كمتطلب أساسي لتنفيذ الهجوم.
كيف تصيب برمجيات ZiChatBot أنظمة ويندوز ولينكس؟
تختلف آلية تنفيذ البرمجيات الخبيثة حسب نظام التشغيل المستهدف، حيث أظهر المهاجمون قدرة عالية على التكيف مع البيئات التقنية المختلفة، وفقاً لما ذكره خبراء في تيكبامين:
الإصابة في نظام ويندوز (Windows):
- استخراج ملف مكتبة برمجية باسم terminate.dll ووضعه في القرص الصلب.
- تحميل المكتبة بمجرد استيراد الحزمة في أي مشروع برمجى.
- إنشاء مدخل في سجل النظام (Windows Registry) لضمان التشغيل التلقائي مع كل إقلاع.
- حذف ملفات التثبيت الأصلية لإخفاء أي أثر لعملية الاختراق.
الإصابة في نظام لينكس (Linux):
- زرع ملف Dropper بصيغة .so في المسار المؤقت /tmp/obsHub/.
- إعداد مهمة مجدولة (crontab) لضمان استمرارية عمل البرمجية الخبيثة.
- تنفيذ أوامر Shell يتم استقبالها مباشرة من خادم التحكم.
لماذا تُعد البنية التحتية لهذا الهجوم فريدة من نوعها؟
على عكس البرمجيات الخبيثة التقليدية التي تتواصل مع خوادم تحكم مخصصة (C2)، تستخدم ZiChatBot واجهات برمجة التطبيقات (APIs) الخاصة بتطبيق الدردشة الشهير Zulip كبنية تحتية للقيادة والسيطرة. هذه الطريقة تجعل من الصعب على أنظمة الحماية اكتشاف حركة المرور المشبوهة لأنها تظهر كنشاط طبيعي لتطبيق محادثات شرعي.
بعد تنفيذ الأوامر بنجاح على جهاز الضحية، تقوم البرمجية بإرسال رمز تعبيري "قلب" (Heart Emoji) إلى خادم Zulip، وهي إشارة للمخترقين بأن العملية تمت بنجاح وبأن الجهاز تحت السيطرة.
هل تقف مجموعة OceanLotus وراء الهجمات الأخيرة؟
تشير التحليلات التقنية إلى وجود تشابه بنسبة 64% بين الأداة المستخدمة في هذا الهجوم وأدوات سابقة استعملتها مجموعة التهديد المتقدمة OceanLotus (المعروفة أيضاً باسم APT32). هذه المجموعة ارتبطت سابقاً بهجمات استهدفت مجتمعات الأمن الرقمي عبر مشاريع Visual Studio Code ملغومة واستخدام خدمة Notion كمنصة للتحكم.
يمثل هذا التطور تحولاً في استراتيجية المهاجمين، حيث لم يعد الاعتماد كلياً على رسائل البريد الإلكتروني الاحتيالية، بل انتقلوا إلى استغلال الثقة في مستودعات البرمجيات مفتوحة المصدر للوصول إلى أهداف حساسة داخل الشركات والمؤسسات التقنية.
