🗓 الثلاثاء - 17 فبراير 2026، 06:10 مساءً |
⏱ 3 دقيقة |
👁 8 مشاهدة
هجوم SmartLoader يعيد تسليط الضوء على استغلال الثقة في أدوات الذكاء الاصطناعي، بعدما استخدم خادم أورا MCP مزيفًا لزرع StealC وسرقة بيانات حساسة.ما هو هجوم SmartLoader ولماذا يستهدف مطوري الذكاء الاصطناعي؟يعتمد SmartLoader على خداع المطورين والباحثين عبر مستودعات تبدو موثوقة، ثم نشر برمجيات تحميل خبيثة فور تشغيل الملفات. وحسب تيكبامين، فإن هذا الأسلوب يركز على المجتمعات التقنية التي تبحث عن أدوات جاهزة لتكاملات الذكاء الاصطناعي.خلفية الحملة وتطورها في 2024 و2025ظهرت الحملة لأول مرة في 2024، ثم تطورت في 2025 مع تكتيكات أكثر احترافًا في بناء سمعة زائفة للمستودعات. المهاجمون يضيفون محتوى مولدًا بالذكاء الاصطناعي لإقناع الضحايا بأن المشروع نشط وشرعي.أشارت تحليلات أمنية إلى أن الطُعم يتمحور حول أدوات شائعة يبحث عنها المستخدمون، مع وعود بميزات مجانية أو غير مرخصة.غش الألعاب وأدوات التعديلبرامج مقرصنة أو مكركةأدوات العملات الرقمية والنسخ الاحتياطيكيف تم تزوير خادم أورا MCP لخداع المستخدمين؟قام المهاجمون بنسخ خادم MCP المرتبط بخدمة أورا التي تربط مساعدات الذكاء الاصطناعي ببيانات خاتم أورا الصحي. وتم إرسال النسخة المزيفة إلى أدلة MCP العامة، ما يجعلها تظهر بجانب خوادم سليمة في نتائج البحث.شبكة الثقة المصطنعة على GitHubاعتمدت الحملة على بناء واجهة تبدو طبيعية عبر حسابات وهمية ومساهمات متعددة، بهدف رفع مستوى الثقة قبل نشر الحمولة الخبيثة.استنساخ مشروع أورا MCP الأصلي بأسماء متقاربةإنشاء forks وهمية وتاريخ مساهمات مزيفتسجيل الخادم في أدلة مثل MCP Marketتوفير ملفات ZIP تبدو كإصدارات رسميةالمؤشر اللافت هو أن الحملة استغرقت أشهرًا لبناء المصداقية، بدلًا من الاعتماد على الانتشار السريع. هذا النهج البطيء يشير إلى تركيز على أهداف ذات قيمة أعلى ضمن بيئات التطوير.ما الذي يفعله StealC بعد الاختراق؟عند تشغيل ملف ZIP، يتم تنفيذ سكربت Lua مموه يقوم بتنزيل SmartLoader، ثم يسلم التحكم إلى StealC لبدء جمع البيانات. ويستهدف المهاجمون معلومات تسجيل الدخول وبيانات المتصفح ومحافظ العملات الرقمية.سلسلة الإصابة من ZIP إلى سرقة البياناتتحميل الخادم المزيف من سجل MCP عبر بحث المستخدمتشغيل سكربت Lua مموه لتنزيل SmartLoaderجلب حمولة StealC من خادم خارجيجمع البيانات وإرسالها إلى البنية الخبيثةأنواع البيانات التي يحاول المهاجمون سرقتهابيانات الدخول وكلمات المرور المحفوظة في المتصفحاتجلسات تسجيل الدخول والكوكيز والرموز المميّزةمفاتيح ومحافظ العملات الرقميةكيف تحمي نفسك من برمجيات التحميل الخبيثة؟توصي تيكبامين بالتحقق من مصدر أي خادم MCP قبل دمجه، وعدم الاعتماد على عدد النجوم أو الشعبية وحدها. كما أن تشغيل الأدوات داخل بيئة معزولة يقلل من مخاطر إصابة النظام الأساسي.خطوات عملية قبل تشغيل أي أداة MCPمراجعة تاريخ المستودع وعدد المساهمين الحقيقيينتجنب ملفات ZIP المجهولة وتشغيلها في بيئة اختبارالتحقق من الروابط الرسمية لخدمات مثل أورااستخدام حلول حماية محدثة ومراقبة الاتصالات الخارجيةختامًا، يوضح هجوم SmartLoader أن الثقة وحدها لا تكفي في منظومات الذكاء الاصطناعي، وأن التحقق من سلاسل التوريد هو خط الدفاع الأول للمطورين.