Image by Xavier Cee, from Unsplash
حملة البرمجيات الخبيثة CastleLoader تصيب حكومة الولايات المتحدة والمطورين
وقت القراءة: 2 دقائق
آخر التحديثات: Jul 29, 2025
-
![كيارا فابري]()
-
![فريق الترجمة والتوطين]()
ترجمة فريق الترجمة والتوطين خدمات الترجمة والتوطين
برنامج ضار وجديد يُطلق عليه اسم CastleLoader يُصيب المستخدمين من خلال مواقع وهمية ومستودعات GitHub.
في عجلة من أمرك؟ إليك الحقائق السريعة:
- أصاب برنامج CastleLoader الخبيث 469 جهازًا، بما في ذلك أنظمة الحكومة الأمريكية.
- ينتشر البرنامج الخبيث عبر تحديثات ClickFix الوهمية ومستودعات GitHub.
- خدعة GitHub تجعل المطورين يقومون بتحميل الملفات الخبيثة.
منذ اكتشافها في أوائل عام 2025، أصابت CastleLoader ما لا يقل عن 469 جهازًا في جميع أنحاء العالم، بما في ذلك أنظمة الحكومة الأمريكية، كما أفادت به لأول مرة شركة الأمن السيبراني PRODAFT.
يوضح الباحثون أن CastleLoader يعمل كمنصة لتوزيع البرامج الخبيثة، والتي تنشر RedLine بجانب StealC و DeerStealer و NetSupport RAT و HijackLoader.
تمكن هذه البرامج الخبيثة المهاجمين من سرقة كلمات المرور والكوكيز ومحافظ العملات المشفرة، بينما تمنحهم الوصول عن بُعد إلى أجهزة الضحايا.
يستخدم المهاجمون مواقع الصيد الاحتيالي المزيفة ClickFix التي تقلد المصادر المشروعة، مثل Google Meet، وتحديثات المتصفح، وفحوصات الوثائق. ينتهي المستخدمون الذين يتبعون تعليمات تصحيح الأخطاء الوهمية على الشاشة بتشغيل أوامر PowerShell الخبيثة، التي تبدأ سلسلة الإصابة دون علمهم.
“كاستل لودر هو تهديد جديد ونشط، تم تبنيه بسرعة من قبل العديد من الحملات الخبيثة لنشر مجموعة متنوعة من الأحمال الأخرى والسارقين”، كما قالت PRODAFT، حسبما ذكرت The Hacker News.
“تسلط تقنياتها المتطورة لمكافحة التحليل وعملية الإصابة المتعددة المراحل الضوء على فعاليتها كآلية توزيع أساسية في ساحة التهديد الحالية”، أضاف الباحثون.
ينتشر CastleLoader أيضًا عبر مستودعات GitHub المزيفة التي تبدو وكأنها تستضيف أدوات مطور موثوقة. تقود هذه الصفحات الخداعية المستخدمين لتثبيت البرمجيات الخبيثة، مستغلة الثقة في منصات مثل GitHub.
تستخدم البرامج الخبيثة أيضًا مستودعات غيتهاب الوهمية، التي تدعي أنها تستضيف أدوات المطورين لنشر العدوى. ينتهي به الأمر مستخدمون يزورون هذه الصفحات المخادعة بتثبيت البرامج الخبيثة لأنهم يثقون في منصة غيتهاب.
يحدد الباحثون هذه البرامج الخبيثة كجزء من عملية MaaS أكبر. يوفر لوحة التحكم C2 للقراصنة القدرات الفعلية لإدارة الأنظمة المصابة، وتنفيذ الهجمات، وتعديل حملاتهم.
“تستغل هذه التقنية ثقة المطورين بـ GitHub وميلهم لتشغيل أوامر التثبيت من المستودعات التي تبدو سمعتها طيبة”، كما لاحظت PRODAFT.
ومع معدل إصابة يقترب من 29٪، يحذر الخبراء المستخدمين من تجنب مواقع التحديث غير المألوفة والتحقق مرتين من جميع مصادر البرامج.
القصة السابقة
أحدث المقالات 
