احذر مما تنقر عليه – القراصنة يستخدمون تسريب رمز كلاود لنشر البرمجيات الخبيثة

استخدام المحتالين لموقع GitHub لخداع المستخدمين عبر استغلال تسريب شفرة Claude

استغل مجرمو الإنترنت خبر تسريب غير مقصود لشفرة مصدر برنامج Claude من قبل شركة أنثروبيك، حيث قاموا بإنشاء حسابات وهمية على منصة GitHub لنشر ملفات خبيثة. وتقوم هذه الملفات بتنفيذ برمجيات ضارة مثل Vidar، وهو برنامج سرقة معلومات قوي، وGhostSocks، وهو برنامج يحول الأجهزة المصابة إلى وكلاء بروكسي لمجرمي الإنترنت.

تسريب غير متعمد يفتح المجال للمهاجمين

قبل أيام قليلة، كشفت شركة أنثروبيك أن تسريب شفرة مصدر برنامج Claude كان نتيجة خطأ غير متعمد، وليس فعلًا خبيثًا من داخل الشركة أو طرف خارجي. سرعان ما انتشرت الشفرة على منصة GitHub، حيث تم نسخها وتكرارها عشرات الآلاف من المرات، مما دفع المجرمين الإلكترونيين لاستغلالها بشكل واسع.

حسابات خبيثة وترويج للملفات المصابة

قام مجرمون بإنشاء مستودعات وهمية على GitHub، تحت اسم مستخدم يُدعى ‘dbzoomh’، مدعين أنها نسخة من شفرة مصدر Claude مع ميزات مؤمنة ومفتوحة. واستهدفوا تحسين ظهور هذه المستودعات في نتائج البحث، بحيث ظهرت على الصفحة الأولى عند البحث عن “تسريب شفرة Claude”. تحتوي هذه المستودعات على أرشيف 7-Zip يضم ملفًا تنفيذيًا باسم ClaudeCode_x64.exe، المبني بلغة Rust، وعند تشغيله، ينشر برمجيات Vidar وGhostSocks.

ما خطورة برمجيات Vidar وGhostSocks؟

برمجية Vidar معروفة بأنها من أقوى برامج سرقة المعلومات، حيث تجمع بيانات المتصفحات، كلمات المرور المخزنة، محافظ العملات الرقمية، وملفات مهمة أخرى. أما GhostSocks فهي برمجية تعمل كوكيل بروكسي، وتحول الأجهزة المصابة إلى وسطاء لنقل حركة الإنترنت بشكل مخفي، مما يُمكن المهاجمين من توجيه حركة المرور الخبيثة وبيعها كخدمة.

تحديثات مستمرة وتغيرات محتملة في الهجمات

ذكرت شركة Zscaler لأبحاث الأمن السيبراني أن الملف الخبيث يُحدّث باستمرار، مما يشير إلى احتمال تغير المحتوى الخبيث في المستقبل. كما رصدوا وجود مستودع آخر على GitHub يحمل نفس الكود، لكنه مُعطل الآن، وهو دليل على أن المهاجمين يجربون طرقًا مختلفة لنشر البرمجيات الضارة. وتمت إزالة الحساب الذي كان ينشر التحديثات من المنصة، وأصبح صفحة المستودع تظهر رسالة خطأ 404.

هل تتسرع أنثروبيك في إصدار خدمات جديدة؟

يبدو أن شركة أنثروبيك تسرع في إطلاق منتجات جديدة، على حساب تعزيز الأمان. خلال الأسابيع الماضية، ظهرت تقارير متعددة عن ثغرات في برنامج Claude، منها هجمات عبر حقن الأوامر وثغرات أخرى. ففي مارس 2026، اكتشف خبراء أمن أن ثغرة في امتداد Chrome الخاص بـClaude تسمح بهجمات بدون تفاعل المستخدم، مما يعرض البيانات الحساسة للخطر. قبل ذلك بأيام، أبلغ باحثون عن ثلاث ثغرات تتداخل معًا، تسمح بسرقة البيانات، وأطلقوا عليها اسم “Cloudy Day”، وتم إبلاغ أنثروبيك بها، التي قامت بمعالجتها بسرعة.

ارتفاع شعبية المنصة وأثر الطلب المتزايد

رغم التحديات الأمنية، يظل شعبية منصة Claude في تصاعد مستمر. في يوم اكتشاف ثغرة ShadowPrompt، اضطرت أنثروبيك إلى تقليل حدود الاستخدام خلال ساعات الذروة لمواجهة الطلب المتزايد، مع استمرار قيود الاستخدام الأسبوعية كما هي. وأكد مهندس يُدعى ثرياق شيهيبار أن الشركة تتابع بشكل مستمر تحسين الأداء وتصحيح الثغرات، لتحقيق التوازن بين الأمان والسهولة في الاستخدام.

ختامًا، يُظهر استغلال تسريب الشفرة من قبل المهاجمين الحاجة الملحة لتعزيز إجراءات الأمان والحماية، خاصة مع سرعة إصدار المنتجات وتزايد الثغرات الأمنية التي تهدد المستخدمين والشركات على حد سواء.