يواجه مستخدمو العملات الرقمية تهديداً أمنياً جديداً عبر صفحات كابتشا مزيفة لمنصة Cloudflare. يؤدي هذا الهجوم إلى تثبيت برنامج خبيث جديد يسمى “إنفينيتي ستيلر” مصمم لسرقة بيانات محافظ العملات الرقمية من أجهزة macOS.
هجوم ClickFix يبدأ إصابة نظام macOS
اكتشف باحثو الأمن في Malwarebytes هذه الحملة. وكشف لوحة تحكم المشغلين عن اسم البرنامج الخبيث: Infinite Stealer.
يتم تسليم برنامج السرقة عبر هجوم يسمى ClickFix. يصنف هجوم ClickFix على أنه هجوم هندسة اجتماعية. فهو يخدع المستخدمين لتشغيل أمر ضار بأنفسهم. بدلاً من اختراق جهازك مباشرة، يقنعك أنت بالقيام بذلك نيابة عنه.
يبدأ الهجوم بصفحة كابتشا مزيفة من موقع update-check[.]com. تبدو الصفحة مثل صفحة التحقق البشري من Cloudflare، لكنها ليست كذلك. بعد النقر على الكابتشا المزيفة، يتم توجيه المستخدم لفتح Terminal ولصق أمر معين.
هذا الأمر ليس للتحقق. إنه نص برمجي مخفي يقوم بتنزيل وتشغيل البرنامج الخبيث على جهاز المستخدم.
ينجح الهجوم لأن المستخدم هو من ينفذ الأمر. يتجاوز الدفاعات التقليدية لأنه لا يستغل ثغرة أمنية.
بمجرد تنفيذ الأمر، يتصل بخادم بعيد يتحكم فيه المهاجم لتنزيل برنامج Infiniti Stealler وتثبيته بهدوء على جهاز Mac. لا تظهر نوافذ منبثقة أو تحذيرات، إنه تثبيت صامت.
يقول الباحثون الأمنيون إن تحليل هذا البرنامج الخبيث واكتشافه صعب لأنه مُجمّع في صيغة ثنائية أصلية لنظام macOS. إنه ليس مجرد نص برمجي بلغة Python يمكن قراءته وفهمه بسهولة.
صمم البرنامج الخبيث لسرقة البيانات الحساسة من أجهزة Mac، بما في ذلك:
- بيانات محافظ العملات الرقمية.
- بيانات الاعتماد من المتصفحات ومن Keychain الخاص بـ macOS.
- أسرار النصوص غير المشفرة في ملفات المطورين.
- حتى لقطات الشاشة التي يتم التقاطها أثناء التنفيذ.
كما يتحقق مما إذا كان يعمل في بيئة تحليل لتجنب الاكتشاف، ويرسل البيانات المسروقة إلى خادم المهاجم. يتم إرسال إشعارات عبر Telegram إلى المهاجم عند اكتمال استخراج البيانات، وتوضع بيانات الاعتماد المسروقة في قائمة انتظار لفك تشفير كلمات المرور على الخادم.
هجمات ClickFix شائعة على Windows، لكن المخترقين الآن يعدلونها لأجهزة Apple. لم تعد أنظمة macOS تعتبر آمنة من البرامج الضارة. يجب على مستخدمي العملات الرقمية توخي الحذر عند تصفح الوينب وعدم لصق أوامر في Terminal من مصادر غير موثوقة.
اختراق المحافظ الشخصية للعملات الرقمية يرتفع بشكل حاد
ليس هذا الهجوم الأول المتطور الذي يستهدف مستخدمي العملات الرقمية على macOS. فقد أبلغت تقارير سابقة عن برنامج خبيث جديد يسمى GhostClaw لسرقة المفاتيح الخاصة والوصول إلى المحافظ وغيرها من البيانات الحساسة.
سُجل هذا البرنامج الخبيث على npm، وهو مدير حزم شهير لجافا سكريبت. تظاهر بأنه أداة OpenClaw حقيقية لكنه نفذ هجوماً متعدد المراحل. قام 178 مطوراً بتنزيل الحزمة الضارة قبل إزالتها من السجل.
تمت سرقة 3.4 مليار دولار من صناعة العملات الرقمية في عام 2025.
تقول تقارير شركة Chainalysis للأمن: “زادت اختراقات المحافظ الشخصية بشكل كبير، من 7.3% فقط من إجمالي القيمة المسروقة في 2022 إلى 44% في 2024”.
كان من الممكن أن تصل نسبة اختراقات المحافظ الشخصية إلى 37% في 2025 لولا التأثير الكبير لهجوم Bybit.
الأسئلة الشائعة
ما هو هجوم ClickFix الجديد على مستخدمي العملات الرقمية؟
هو هجوم يخدع مستخدمي أجهزة Mac لتنفيذ أمر ضار في Terminal بأنفسهم، من خلال صفحة كابتشا مزيفة تشبه صفحة Cloudflare، مما يؤدي إلى تثبيت برنامج Infiniti Stealer لسرقة بيانات محافظ العملات الرقمية.
كيف أحمي نفسي من هذا الهجوم؟
كن حذراً جداً عند تصفح الوينب ولا تنقر على روابط مشبوهة. الأهم، لا تنفذ أبداً أوامر في Terminal إلا إذا كنت متأكداً تماماً من مصدرها الموثوق.
هل أجهزة Mac آمنة الآن من سرقة العملات الرقمية؟
لا. لم تعد أنظمة macOS محصنة ضد البرامج الضارة. تشهد الهجمات المتطورة التي تستهدف محافظ العملات الرقمية على أجهزة Mac زيادة كبيرة، مما يتطلب من المستخدمين زيادة اليقظة الأمنية.
