هجوم SmartLoader يستغل خادم أورا المزيف لنشر StealC

هجوم SmartLoader يعيد تسليط الضوء على استغلال الثقة في أدوات الذكاء الاصطناعي، بعدما استخدم خادم أورا MCP مزيفًا لزرع StealC وسرقة بيانات حساسة.

ما هو هجوم SmartLoader ولماذا يستهدف مطوري الذكاء الاصطناعي؟

يعتمد SmartLoader على خداع المطورين والباحثين عبر مستودعات تبدو موثوقة، ثم نشر برمجيات تحميل خبيثة فور تشغيل الملفات. وحسب تيكبامين، فإن هذا الأسلوب يركز على المجتمعات التقنية التي تبحث عن أدوات جاهزة لتكاملات الذكاء الاصطناعي.

خلفية الحملة وتطورها في 2024 و2025

ظهرت الحملة لأول مرة في 2024، ثم تطورت في 2025 مع تكتيكات أكثر احترافًا في بناء سمعة زائفة للمستودعات. المهاجمون يضيفون محتوى مولدًا بالذكاء الاصطناعي لإقناع الضحايا بأن المشروع نشط وشرعي.

أشارت تحليلات أمنية إلى أن الطُعم يتمحور حول أدوات شائعة يبحث عنها المستخدمون، مع وعود بميزات مجانية أو غير مرخصة.

• غش الألعاب وأدوات التعديل
• برامج مقرصنة أو مكركة
• أدوات العملات الرقمية والنسخ الاحتياطي

كيف تم تزوير خادم أورا MCP لخداع المستخدمين؟

قام المهاجمون بنسخ خادم MCP المرتبط بخدمة أورا التي تربط مساعدات الذكاء الاصطناعي ببيانات خاتم أورا الصحي. وتم إرسال النسخة المزيفة إلى أدلة MCP العامة، ما يجعلها تظهر بجانب خوادم سليمة في نتائج البحث.

شبكة الثقة المصطنعة على GitHub

اعتمدت الحملة على بناء واجهة تبدو طبيعية عبر حسابات وهمية ومساهمات متعددة، بهدف رفع مستوى الثقة قبل نشر الحمولة الخبيثة.

• استنساخ مشروع أورا MCP الأصلي بأسماء متقاربة
• إنشاء forks وهمية وتاريخ مساهمات مزيف
• تسجيل الخادم في أدلة مثل MCP Market
• توفير ملفات ZIP تبدو كإصدارات رسمية

المؤشر اللافت هو أن الحملة استغرقت أشهرًا لبناء المصداقية، بدلًا من الاعتماد على الانتشار السريع. هذا النهج البطيء يشير إلى تركيز على أهداف ذات قيمة أعلى ضمن بيئات التطوير.

ما الذي يفعله StealC بعد الاختراق؟

عند تشغيل ملف ZIP، يتم تنفيذ سكربت Lua مموه يقوم بتنزيل SmartLoader، ثم يسلم التحكم إلى StealC لبدء جمع البيانات. ويستهدف المهاجمون معلومات تسجيل الدخول وبيانات المتصفح ومحافظ العملات الرقمية.

سلسلة الإصابة من ZIP إلى سرقة البيانات

• تحميل الخادم المزيف من سجل MCP عبر بحث المستخدم
• تشغيل سكربت Lua مموه لتنزيل SmartLoader
• جلب حمولة StealC من خادم خارجي
• جمع البيانات وإرسالها إلى البنية الخبيثة

أنواع البيانات التي يحاول المهاجمون سرقتها

• بيانات الدخول وكلمات المرور المحفوظة في المتصفحات
• جلسات تسجيل الدخول والكوكيز والرموز المميّزة
• مفاتيح ومحافظ العملات الرقمية

كيف تحمي نفسك من برمجيات التحميل الخبيثة؟

توصي تيكبامين بالتحقق من مصدر أي خادم MCP قبل دمجه، وعدم الاعتماد على عدد النجوم أو الشعبية وحدها. كما أن تشغيل الأدوات داخل بيئة معزولة يقلل من مخاطر إصابة النظام الأساسي.

خطوات عملية قبل تشغيل أي أداة MCP

• مراجعة تاريخ المستودع وعدد المساهمين الحقيقيين
• تجنب ملفات ZIP المجهولة وتشغيلها في بيئة اختبار
• التحقق من الروابط الرسمية لخدمات مثل أورا
• استخدام حلول حماية محدثة ومراقبة الاتصالات الخارجية

ختامًا، يوضح هجوم SmartLoader أن الثقة وحدها لا تكفي في منظومات الذكاء الاصطناعي، وأن التحقق من سلاسل التوريد هو خط الدفاع الأول للمطورين.