في 11 مايو، أفادت Cryptopolitan بأن فريق أبحاث الأمن لدى Microsoft Defender نشر نتائج تحقيق كشف من خلالها أن المهاجمين، منذ أواخر عام 2025، يقومون بنشر أدلة مزيفة لاستكشاف أعطال macOS على منصات مثل Medium وCraft، بهدف تضليل المستخدمين لبدء تنفيذ أوامر خبيثة داخل Terminal، بما يؤدي إلى تثبيت برمجيات خبيثة لسرقة مفاتيح محافظ التشفير وبيانات iCloud وكلمات المرور المحفوظة في المتصفحات.
آلية الهجوم: ClickFix للتحايل على Gatekeeper في macOS
وفقاً لتقرير فريق أبحاث الأمن لدى Microsoft Defender، يستخدم المهاجمون تقنية هندسة اجتماعية تُعرف باسم ClickFix: ينشرون على منصات مثل Medium وCraft وSquarespace أدلة لاستكشاف الأعطال تبدو كأنها لإطلاق مساحة القرص أو لإصلاح أخطاء النظام في macOS، مع توجيه المستخدمين لنسخ أوامر خبيثة ولصقها في Terminal الخاص بـ macOS؛ وبعد تنفيذ الأوامر، يتم تلقائياً تنزيل البرمجيات الخبيثة وتشغيلها.
ووفقاً لتقرير مايكروسوفت، يتجاوز هذا الأسلوب آلية الأمان Gatekeeper في macOS، لأن Gatekeeper يركز على التحقق من توقيعات التعليمات البرمجية والمصادقة على أساس الإجراء الخاص بتشغيل التطبيقات عبر Finder، بينما لا تخضع طريقة تنفيذ المستخدمين للأوامر مباشرةً داخل Terminal لخطوة التحقق هذه. كما توصل الباحثون إلى أن المهاجمين يستخدمون curl وosascript وأدوات أصلية أخرى في macOS لتنفيذ أكواد خبيثة مباشرةً في الذاكرة (هجوم بلا ملفات)، ما يجعل أدوات مكافحة الفيروسات القياسية أكثر صعوبة في اكتشافها.
عائلات البرمجيات الخبيثة ونطاق السرقة وآليات خاصة
وفقاً لتقرير مايكروسوفت، يتضمن نشاط الهجوم هذا ثلاث عائلات من البرمجيات الخبيثة (AMOS وMacsync وSHub Stealer) وثلاث فئات من مثبّتات النظام (Loader وScript وHelper)، وتشمل البيانات المستهدفة التي يتم سرقتها ما يلي:
مفاتيح محافظ التشفير: Exodus وLedger وTrezor
بيانات الاعتماد للحسابات: iCloud وTelegram
كلمات المرور المحفوظة في المتصفحات: Chrome وFirefox
الملفات والصور الخاصة: ملفات محلية أقل من 2 MB
بعد تثبيت البرمجيات الخبيثة، تعرض صناديق حوار مزيفة تطلب من المستخدم إدخال كلمة مرور النظام لتثبيت “أداة مساعدة”؛ وإذا أدخل المستخدم كلمة المرور، يتمكن المهاجم من الحصول على صلاحية الوصول الكاملة إلى الملفات والإعدادات الخاصة بالنظام. كما أشارت مايكروسوفت إلى أنه في بعض الحالات يقوم المهاجمون بحذف تطبيقات Trezor Suite وLedger Wallet وExodus الشرعية، واستبدالها بإصدارات تحتوي على برامج تجسّس لمراقبة المعاملات وسرقة الأموال. علاوة على ذلك، تتضمن برمجيات الهجوم محمّلات تحتوي على مفتاح إنهاء: إذا تم رصد تخطيط لوحة مفاتيح باللغة الروسية، تتوقف البرمجيات الخبيثة تلقائياً عن التنفيذ.
نشاطات هجوم ذات صلة وإجراءات حماية من Apple
وفقاً لبحث أجراه باحثون أمنيون من ANY.RUN، أطلق Lazarus Group حملة قراصنة أطلقوا عليها اسم “Mach-O Man”، مستخدمين تقنيات مشابهة لـ ClickFix عبر استهداف شركات التكنولوجيا المالية والعملات المشفرة التي يعتمد macOS كنظام التشغيل الرئيسي، وذلك من خلال إرسال دعوات اجتماعات مزيفة.
كما أفادت Cryptopolitan بأن المجموعة القراصنة الكورية الشمالية Famous Chollima تستخدم توليد كود بالذكاء الاصطناعي لزرع حزم npm خبيثة داخل مشاريع تداول العملات المشفرة؛ وتستخدم هذه البرمجية الخبيثة بنية تشويش مزدوجة لاختراق وتسرق بيانات المحافظ ومعلومات سرية خاصة بالنظام.
وبحسب ما ورد، أضافت Apple آلية حماية في إصدار macOS 26.4 تمنع لصق الأوامر المعلّمة على أنها محتملة الخبث داخل Terminal في macOS.
الأسئلة الشائعة
منذ متى بدأت حملة ClickFix لهجوم macOS التي كشفت عنها Microsoft Defender، وعلى أي منصات نُشرت؟
وفقاً لتقرير فريق أبحاث الأمن لدى Microsoft Defender وCryptopolitan الصادر في 11 مايو 2026، بدأت نشاطات الهجوم في أواخر 2025؛ إذ قام المهاجمون بنشر أدلة مزيفة لاستكشاف أعطال macOS على منصات مثل Medium وCraft وSquarespace، بهدف تضليل مستخدمي Mac لتنفيذ أوامر خبيثة عبر Terminal.
ما المحافظ المشفرة وأنواع البيانات التي يستهدفها نشاط الهجوم هذا؟
وفقاً لتقرير Microsoft Defender، يمكن للبرمجيات الخبيثة المتورطة (AMOS وMacsync وSHub Stealer) سرقة مفاتيح محافظ Exodus وLedger وTrezor، بالإضافة إلى بيانات حسابات iCloud وTelegram، وكذلك أسماء المستخدمين وكلمات المرور المخزنة في Chrome وFirefox.
ما إجراءات الحماية التي طرحتها Apple لمثل هذا النوع من الهجمات؟
وفقاً لما ورد، أضافت Apple آلية حماية في إصدار macOS 26.4 تمنع الأوامر المعلّمة على أنها محتملة الخبث من اللصق داخل Terminal في macOS، بهدف تقليل فرص نجاح هجمات الهندسة الاجتماعية من نوع ClickFix.
إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة من مصادر خارجية ولا تمثل آراء أو مواقف Gate. المحتوى المعروض في هذه الصفحة هو لأغراض مرجعية فقط ولا يشكّل أي نصيحة مالية أو استثمارية أو قانونية. لا تضمن Gate دقة أو اكتمال المعلومات، ولا تتحمّل أي مسؤولية عن أي خسائر ناتجة عن استخدام هذه المعلومات. تنطوي الاستثمارات في الأصول الافتراضية على مخاطر عالية وتخضع لتقلبات سعرية كبيرة. قد تخسر كامل رأس المال المستثمر. يرجى فهم المخاطر ذات الصلة فهمًا كاملًا واتخاذ قرارات مدروسة بناءً على وضعك المالي وقدرتك على تحمّل المخاطر. للتفاصيل، يرجى الرجوع إلى
إخلاء المسؤولية.
مقالات ذات صلة
تم تفريغ محفظة Trader's Sigma Wallet مرة أخرى؛ وتم تفريغ محفظة ثانية خلال 6 أشهر، خسرت $200K ها مستخدم آخر
وفقاً لـ Odaily، أفاد المتداول A (@missoralways) بأن جائت جلبتان من محافظه المتصلة بـ Sigma تعرضتا للاستنزاف مؤخراً، ما يمثل الاختراق الثاني لمحفظة خلال 6 أشهر. وذكر المتداول أنه كان يحتفظ سابقاً بأصول ذات أرقام سباعية في Sigma دون مشكلات أمنية، لكن حدث الاستنزافان عندما انخفضت أرصدة المحافظ إلى أقل من 10,000 دولار. إضافة إلى ذلك، فقد مستخدم آخر نحو 200,000 دولار من الأصول في ظروف مماثلة. وقد بدأ فريق Sigma تحقيقاً في الحوادث.
GateNewsمنذ 2 س
كشفت Arkham Intelligence عن أن حسابات الاحتيال الاستثماري تمثل 49% من جرائم العملات المشفرة، وليس عمليات القرصنة، في 11 مايو
وفقًا لبحث Arkham Intelligence، في 11 مايو، كشفت منصة تحليلات البلوك تشين عن تقرير يوضح أن الاحتيال الاستثماري مثّل 49% من خسائر الجرائم المرتبطة بالعملات المشفرة في 2025. وبالاستناد إلى بيانات مركز شكاوى الجرائم الإلكترونية التابع لـ FBI، يذكر التقرير أن خسائر الجرائم المرتبطة بالعملات المشفرة في الولايات المتحدة تجاوزت 11 مليار دولار في 2025. ويشير التقرير إلى أن جرائم الأصول الرقمية باتت تمتد الآن إلى عدة صور، بما فيها عمليات الاحتيال الاستثماري، وغسل الأموال، وبرامج الفدية (ransomware)، والت
GateNewsمنذ 4 س
اكتشفت SlowMist إضافة خبيثة على متصفح Chrome بنسخة MV3 تستهدف مستخدمي محفظة TRON في 11 مايو
وفقاً لنظام المراقبة الأمنية الخاص بـ SlowMist MistEye، تستهدف إضافة ضارة لمتصفح Chrome MV3 مستخدمي محفظة TRON عبر هجمات تصيّد مصممة لسرقة عبارات البذور (seed phrases) والمفاتيح الخاصة وملفات keystore وكلمات المرور. تستخدم الإضافة تشويهاً عبر Unicode وانتحال هوية العلامات التجارية لإخفاء نفسها على أنها إضافة رسمية، ثم تقوم بعد التثبيت بتحميل صفحة منبثقة عبر iframe عن بُعد لخداع المستخدمين في إدخال معلومات حساسة، يتم بعد ذلك إرسالها عبر Telegram Bot. تتضمن البنية التحتامية الخبيثة نطاقَي tronfind
GateNewsمنذ 5 س
تعرض وكيل خزانة مساحة عمل Ink Finance على شبكة Polygon لهجوم، وخسر 140,000 دولار
وفقاً لـ ChainCatcher، تعرضت Workspace Treasury Proxy التابعة لـ Ink Finance على Polygon لهجوم قبل دقائق، ما أدى إلى خسائر تُقدّر بنحو 140,000 دولار.
GateNewsمنذ 6 س
مهاجم TrustedVolumes ينقل $278K من الأموال المسروقة في 11 مايو
وفقًا لمراقبة PeckShield، نقل مهاجم TrustedVolumes وغسل 278,000 دولار من الأموال المسروقة حتى 11 مايو. أودع المهاجم 10.2 ETH (23,600 دولار) في Tornado Cash، وحوّل 110 ETH (250,000 دولار) إلى Bitcoin عبر THORChain، وحاول إيداع 0.5 ETH في Railgun قبل السحب. عانى TrustedVolumes من خسارة إجمالية بنحو 6.7 مليون دولار في هجوم 7 مايو.
GateNewsمنذ 7 س
استولت شرطة ولاية نيو ساوث ويلز على 52.3 بيتكوين بقيمة 5.7 مليون دولار أسترالي في عملية ضبط مزعومة لسوق إلكترونية غير قانونية (دارك نت) في 4 مايو
حسب شرطة نيو ساوث ويلز، صادرت السلطات 52.3 بيتكوين بقيمة تقدر بنحو 5.7 مليون دولار أسترالي خلال مداهمة في إنجلبرن، في جنوب غرب سيدني، في 4 مايو، في ما تصفه الشرطة بأنه واحدة من أكبر عمليات الاستيلاء على العملات المشفرة في أستراليا. كانت العملية جزءاً من فرقة العمل Strike Force Andalusia، وهي تحقيق انطلق في سبتمبر 2024 بشأن نشاط مزعوم في سوق للدارك نت مرتبط ببيع مخدرات محظورة. وجهت تهم إلى رجلين عقب التحقيق: يواجه مقيم يبلغ من العمر 39 عاماً في إنجلبرن تهم التعامل بعائدات إجرامية تزيد عن 5 ملايين
GateNewsمنذ 8 س
