في 11 مايو، أفادت Cryptopolitan بأن فريق أبحاث الأمن لدى Microsoft Defender نشر نتائج تحقيق كشف من خلالها أن المهاجمين، منذ أواخر عام 2025، يقومون بنشر أدلة مزيفة لاستكشاف أعطال macOS على منصات مثل Medium وCraft، بهدف تضليل المستخدمين لبدء تنفيذ أوامر خبيثة داخل Terminal، بما يؤدي إلى تثبيت برمجيات خبيثة لسرقة مفاتيح محافظ التشفير وبيانات iCloud وكلمات المرور المحفوظة في المتصفحات.
آلية الهجوم: ClickFix للتحايل على Gatekeeper في macOS
وفقاً لتقرير فريق أبحاث الأمن لدى Microsoft Defender، يستخدم المهاجمون تقنية هندسة اجتماعية تُعرف باسم ClickFix: ينشرون على منصات مثل Medium وCraft وSquarespace أدلة لاستكشاف الأعطال تبدو كأنها لإطلاق مساحة القرص أو لإصلاح أخطاء النظام في macOS، مع توجيه المستخدمين لنسخ أوامر خبيثة ولصقها في Terminal الخاص بـ macOS؛ وبعد تنفيذ الأوامر، يتم تلقائياً تنزيل البرمجيات الخبيثة وتشغيلها.
ووفقاً لتقرير مايكروسوفت، يتجاوز هذا الأسلوب آلية الأمان Gatekeeper في macOS، لأن Gatekeeper يركز على التحقق من توقيعات التعليمات البرمجية والمصادقة على أساس الإجراء الخاص بتشغيل التطبيقات عبر Finder، بينما لا تخضع طريقة تنفيذ المستخدمين للأوامر مباشرةً داخل Terminal لخطوة التحقق هذه. كما توصل الباحثون إلى أن المهاجمين يستخدمون curl وosascript وأدوات أصلية أخرى في macOS لتنفيذ أكواد خبيثة مباشرةً في الذاكرة (هجوم بلا ملفات)، ما يجعل أدوات مكافحة الفيروسات القياسية أكثر صعوبة في اكتشافها.
عائلات البرمجيات الخبيثة ونطاق السرقة وآليات خاصة
وفقاً لتقرير مايكروسوفت، يتضمن نشاط الهجوم هذا ثلاث عائلات من البرمجيات الخبيثة (AMOS وMacsync وSHub Stealer) وثلاث فئات من مثبّتات النظام (Loader وScript وHelper)، وتشمل البيانات المستهدفة التي يتم سرقتها ما يلي:
مفاتيح محافظ التشفير: Exodus وLedger وTrezor
بيانات الاعتماد للحسابات: iCloud وTelegram
كلمات المرور المحفوظة في المتصفحات: Chrome وFirefox
الملفات والصور الخاصة: ملفات محلية أقل من 2 MB
بعد تثبيت البرمجيات الخبيثة، تعرض صناديق حوار مزيفة تطلب من المستخدم إدخال كلمة مرور النظام لتثبيت “أداة مساعدة”؛ وإذا أدخل المستخدم كلمة المرور، يتمكن المهاجم من الحصول على صلاحية الوصول الكاملة إلى الملفات والإعدادات الخاصة بالنظام. كما أشارت مايكروسوفت إلى أنه في بعض الحالات يقوم المهاجمون بحذف تطبيقات Trezor Suite وLedger Wallet وExodus الشرعية، واستبدالها بإصدارات تحتوي على برامج تجسّس لمراقبة المعاملات وسرقة الأموال. علاوة على ذلك، تتضمن برمجيات الهجوم محمّلات تحتوي على مفتاح إنهاء: إذا تم رصد تخطيط لوحة مفاتيح باللغة الروسية، تتوقف البرمجيات الخبيثة تلقائياً عن التنفيذ.
نشاطات هجوم ذات صلة وإجراءات حماية من Apple
وفقاً لبحث أجراه باحثون أمنيون من ANY.RUN، أطلق Lazarus Group حملة قراصنة أطلقوا عليها اسم “Mach-O Man”، مستخدمين تقنيات مشابهة لـ ClickFix عبر استهداف شركات التكنولوجيا المالية والعملات المشفرة التي يعتمد macOS كنظام التشغيل الرئيسي، وذلك من خلال إرسال دعوات اجتماعات مزيفة.
كما أفادت Cryptopolitan بأن المجموعة القراصنة الكورية الشمالية Famous Chollima تستخدم توليد كود بالذكاء الاصطناعي لزرع حزم npm خبيثة داخل مشاريع تداول العملات المشفرة؛ وتستخدم هذه البرمجية الخبيثة بنية تشويش مزدوجة لاختراق وتسرق بيانات المحافظ ومعلومات سرية خاصة بالنظام.
وبحسب ما ورد، أضافت Apple آلية حماية في إصدار macOS 26.4 تمنع لصق الأوامر المعلّمة على أنها محتملة الخبث داخل Terminal في macOS.
الأسئلة الشائعة
منذ متى بدأت حملة ClickFix لهجوم macOS التي كشفت عنها Microsoft Defender، وعلى أي منصات نُشرت؟
وفقاً لتقرير فريق أبحاث الأمن لدى Microsoft Defender وCryptopolitan الصادر في 11 مايو 2026، بدأت نشاطات الهجوم في أواخر 2025؛ إذ قام المهاجمون بنشر أدلة مزيفة لاستكشاف أعطال macOS على منصات مثل Medium وCraft وSquarespace، بهدف تضليل مستخدمي Mac لتنفيذ أوامر خبيثة عبر Terminal.
ما المحافظ المشفرة وأنواع البيانات التي يستهدفها نشاط الهجوم هذا؟
وفقاً لتقرير Microsoft Defender، يمكن للبرمجيات الخبيثة المتورطة (AMOS وMacsync وSHub Stealer) سرقة مفاتيح محافظ Exodus وLedger وTrezor، بالإضافة إلى بيانات حسابات iCloud وTelegram، وكذلك أسماء المستخدمين وكلمات المرور المخزنة في Chrome وFirefox.
ما إجراءات الحماية التي طرحتها Apple لمثل هذا النوع من الهجمات؟
وفقاً لما ورد، أضافت Apple آلية حماية في إصدار macOS 26.4 تمنع الأوامر المعلّمة على أنها محتملة الخبث من اللصق داخل Terminal في macOS، بهدف تقليل فرص نجاح هجمات الهندسة الاجتماعية من نوع ClickFix.
إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة من مصادر خارجية ولا تمثل آراء أو مواقف Gate. المحتوى المعروض في هذه الصفحة هو لأغراض مرجعية فقط ولا يشكّل أي نصيحة مالية أو استثمارية أو قانونية. لا تضمن Gate دقة أو اكتمال المعلومات، ولا تتحمّل أي مسؤولية عن أي خسائر ناتجة عن استخدام هذه المعلومات. تنطوي الاستثمارات في الأصول الافتراضية على مخاطر عالية وتخضع لتقلبات سعرية كبيرة. قد تخسر كامل رأس المال المستثمر. يرجى فهم المخاطر ذات الصلة فهمًا كاملًا واتخاذ قرارات مدروسة بناءً على وضعك المالي وقدرتك على تحمّل المخاطر. للتفاصيل، يرجى الرجوع إلى
إخلاء المسؤولية.
مقالات ذات صلة
إطلاق كوريا الجنوبية لأداة تحقق من أمن العقود الذكية عبر FSI وتعزيز ثلاث مشاريع
وفقاً لإي دايلي، أعلنت اليوم مؤسسة الأمن المالي في كوريا الجنوبية (FSI) عن تطوير أداة مخصصة للتحقق من أمان العقود الذكية، وتواصل تنفيذ 3 مبادرات رئيسية تشمل بناء نظام تحقق للعقود الذكية وتطوير المواهب في مجال الأصول الرقمية. ستقوم أداة التحقق تلقائياً باكتشاف أبرز الثغرات في العقود الذكية المستخدمة في الأوراق المالية الرمزية والـstablecoins وخدمات الأصول الرقمية الأخرى، مع التركيز على أنواع الثغرات عالية المخاطر مثل هجمات إعادة الدخول (reentrancy) وأخطاء التحكم في الوصول والتحقق غير الكافي من ال
GateNewsمنذ 40 د
مطوّر Wagyu ينفي عملية احتيال Rug Pull لـ XMR1، ويُوضح عمليات السحب عبر Terminal
وبحسب Foresight News، أوضح مطوّر Wagyu PerpetualCow أن حاملي رمز XMR1 يمكنهم سحب الأموال عبر Terminal بدل واجهة الربط عبر السلاسل القديمة، نافيًا مزاعم Rug Pull الأخيرة. وذكر المطوّر أنه لم تُبلّغ أي حالات من قبل المستخدمين تفيد بوجود فشل في عمليات السحب، وأن واجهة التبادل تحدد بالفعل طريقة السحب الصحيحة. سبق أن أثار أفراد من المجتمع مخاوف من أن Wagyu يشبه Rug Pull، مع احتمال أن تكون إيداعات XMR عالقة ووجود مؤشرات Honeypot. يُعد XMR1 رمزًا اصطناعيًا لـ XMR صادرًا عن Wagyu على Hyperliquid.
GateNewsمنذ 2 س
تعرض نشر Renegade V1 على Arbitrum لهجوم، وخسر 209 آلاف دولار؛ ومخترق “قبعة بيضاء” يعيد 190 ألف دولار
بحسب البيان الرسمي لشركة Renegade على X، تم استهداف نشر V1 القديم للبروتوكول على Arbitrum في وقت مبكر من صباح اليوم (11 مايو)، ما أدى إلى خسائر تقارب 209,000 دولار. وقام هاكر “white hat” بإعادة ما يقارب 190,000 دولار، وأكد الفريق أن جميع المستخدمين المتأثرين سيحصلون على تعويض كامل. أكد الفريق أن الثغرة كانت موجودة فقط في نشر V1 على Arbitrum؛ ولا تزال عمليات النشر V1 على Base وV2 على Arbitrum وV2 على Base آمنة. تم إيقاف جميع البنية التحتية الداعمة لعمليات معاملات V1 على Arbitrum، بما يلغي أي مخاط
GateNewsمنذ 3 س
أعلنت USDT0 عن آلية التحقق 3/3 وبرنامج مكافآت عن ثغرة $6M بعد حادثة Kelp
بحسب Foresight News، كشفت USDT0، بروتوكول قابلية التشغيل البيني لأصول Tether، عن تفاصيل بنية أمان بعد حادثة Kelp. يستخدم البروتوكول شبكة مُتحقِّقين لا مركزية (DVN) مملوكة مع صلاحيات حق الاعتراض على الرسائل، ويتطلب ثلاثة مُتحقِّقين مستقلين يستندون إلى قواعد كود مختلفة للوصول إلى توافق 3/3 قبل تسوية رسائل الربط عبر السلاسل. تتضمن عقد المُتحقِّقين الحالية شبكة DVN المملوكة لدى USDT0، وLayerZero، وCanary. كما أطلقت USDT0 برنامجاً لمكافآت الثغرات بقيمة 6 مليون دولار على Immunefi، مع تدقيق العقود بواس
GateNewsمنذ 4 س
اكتشفت مايكروسوفت حملة تصيّد (Phishing) لنظام macOS تستهدف محافظ Exodus وLedger وTrezor منذ أواخر عام 2025
وفقاً لفريق أبحاث أمنية في مايكروسوفت، منذ أواخر 2025، يقوم المهاجمون بتوزيع أدلة مزيفة لاستكشاف أخطاء macOS على منصات تشمل Medium وCraft وSquarespace، وذلك لخداع المستخدمين لتشغيل أوامر طرفية خبيثة. تقوم هذه الأوامر بتنزيل وتنفيذ برمجيات خبيثة مُصممة لسرقة مفاتيح محافظ العملات المشفرة من Exodus وLedger وTrezor، إلى جانب بيانات iCloud وكلمات المرور المحفوظة من Chrome وFirefox. تشمل عائلات البرمجيات الخبيثة المعنية AMOS وMacsync وSHub Stealer. وفي بعض الحالات، يقوم المهاجمون أيضاً بحذف تطبيقات ال
GateNewsمنذ 4 س
تقدم LayerZero اعتذاراً عاماً عن استجابة اختراق كِلب DAO، وتقر بوجود خلل في نظام المُتحقق الواحد الخاص بـ DVN
وفقاً للـ LayerZero، قدّمت البروتوكول اعتذاراً عاماً يوم الجمعة عن تعاملها مع اختراق 18 أبريل الذي استنزف 292 مليون دولار من rsETH من جسر Kelp DAO عبر السلاسل، بما يمثل تحولاً ملموساً في النبرة مقارنةً بمنشورها السابق الخاص بما بعد الحادث. اعترفت LayerZero بأن شبكة المُتحققين اللامركزيين الخاصة بها (DVN) لم يكن ينبغي أن تعمل كمُتحقق وحيد للمعاملات عالية القيمة، قائلة: "لقد ارتكبنا خطأً بالسماح لشبكة DVN الخاصة بنا بالعمل كشبكة DVN بنسبة 1/1 للمعاملات عالية القيمة." وكشفت الشركة أن مجموعة لازاروس
GateNewsمنذ 4 س
