فخ "Claude" المزيف.. برمجيات خبيثة تستهدف المطورين عبر نتائج بحث جوجل

كشفت تقارير أمنية حديثة صادرة عن Sophos X-Ops وMalwarebytes عن حملة احتيالية معقدة تستهدف المطورين، حيث استغل المهاجمون شهرة أدوات الذكاء الاصطناعي لترويج موقع مزيف لشركة Anthropic يدفع ببرمجية خبيثة من نوع "الباب الخلفي" (Backdoor) تُعرف باسم Beagle إلى أجهزة نظام Windows، وذلك من خلال نتائج البحث الممولة عبر محرك بحث Google.

انتحل الموقع الخبيث claude-pro[.]com هوية الواجهة الرسمية لشركة "كلود"، مروجاً لأداة وهمية تسمى Claude-Pro Relay بزعم أنها خدمة ترحيل عالية الأداء مصممة خصيصاً لمطوري Claude Code، بينما لا يقدم الموقع في الحقيقة سوى زر تحميل لملف مضغوط بحجم 505MB، يحتوي على مثبت MSI يقوم بزرع ملفات ضارة داخل مجلد بدء التشغيل في نظام التشغيل لاختراقه بالكامل.

أوضح الباحثون أن سلسلة الإصابة تعتمد على تقنية "تحميل DLL الجانبي" (Sideloading)، حيث يتم استخدام ملف تنفيذي شرعي وموقع رقمياً تابع لشركة G Data للحماية من الفيروسات لخداع دفاعات النظام، ومن ثم يقوم ملف ضار يسمى avk.dll بفك تشفير الحمولة الخبيثة وتسليمها لمشغل DonutLoader الذي يضع برمجية Beagle داخل النظام لتبدأ عملية التجسس والتحكم عن بُعد.

آلية الاختراق

تتواصل برمجية Beagle مع خادم تحكم وتنسيق عبر منافذ مشفرة باستخدام مفاتيح AES صلبة، مما يجعل حركة المرور تبدو وكأنها اتصال HTTPS طبيعي لا يمكن كشفه بسهولة، وتسمح هذه البرمجية للمهاجمين بتنفيذ ثمانية أوامر أساسية تشمل نقل الملفات، وسرد المجلدات، وتنفيذ الأوامر البرمجية، مما يمنحهم وصولاً كاملاً وغير مقيد لجهاز الضحية وبياناته الحساسة.

لاحظ المحللون تشابهاً كبيراً بين هذه الحملة وحملة سابقة لبرمجية PlugX تم رصدها في فبراير 2026، حيث استخدم المهاجمون نفس السلسلة التقنية المكونة من ملف G Data وملف avk.dll، مما يشير إلى أن الجهات الفاعلة إما قامت بتطوير أدواتها أو استعارت تقنيات ناجحة من مجموعات اختراق أخرى لتعزيز قدرتها على التخفي وتجاوز الحلول الأمنية التقليدية.

رصدت شركة Malwarebytes تحركات المشغلين وتغييرهم لمزودي خدمات البريد الإلكتروني الجماعي باستمرار للهروب من القوائم السوداء، حيث بدأ تشغيل خادم الاستضافة في مارس 2026، مما يعني أن الحملة استمرت لعدة أسابيع قبل الكشف عنها رسمياً، وهو ما يبرز مرونة المهاجمين في تدوير بنيتهم التحتية لتجنب الملاحقة الأمنية وإطالة أمد الهجمات.

نمط الهجمات

يمثل هذا الهجوم المرة الثالثة خلال عام واحد التي يستخدم فيها المهاجمون العلامات التجارية لأدوات الذكاء الاصطناعي لتنفيذ حملات اختراق، فقد سبق رصد صفحات مزيفة لخدمات DeepSeek في أوائل عام 2025، تلتها صفحات لـ Claude Code في مارس 2026، حيث يتغير اسم الأداة المستغلة لتواكب أحدث توجهات البحث العالمية بينما تظل طرق الإصابة ثابتة وتقنية.

استهدفت الحملة نتائج البحث الممولة "Sponsored"، مما جعل الموقع المزيف يظهر فوق الموقع الرسمي لكلود في نتائج البحث، مما يخدع المستخدمين الذين ينقرون دون فحص دقيق لنطاق الموقع، وتؤكد التقارير أن خدمة كلود الرسمية متاحة فقط عبر نطاق claude.com، ولا توجد أي أداة رسمية من شركة Anthropic تحمل اسم Claude-Pro Relay.

حذرت شركة Sophos من أن العثور على ملفات مثل NOVupdate.exe أو avk.dll في مجلد بدء تشغيل Windows يعد مؤشراً قاطعاً على اختراق الجهاز، وتأتي هذه الحادثة في وقت تتزايد فيه المخاطر الأمنية المرتبطة بأدوات الذكاء الاصطناعي، خاصة بعد واقعة سابقة قام فيها مساعد برمجة ذكي بحذف قاعدة بيانات إنتاجية لشركة ناشئة بالكامل دون تأكيد بشري.

نصائح الحماية

يجب على المطورين والتقنيين توخي الحذر الشديد عند تحميل أدوات البرمجة، والتأكد دائماً من النطاق الرسمي للخدمة وتجنب النقر على الإعلانات الممولة في نتائج البحث التي قد تقود لمواقع احتيالية، كما يُنصح باستخدام حلول أمنية قوية قادرة على رصد سلوكيات "تحميل DLL الجانبي" ومنع العمليات غير المصرح بها في مجلدات النظام الحساسة مثل Startup.

تظل التوعية الأمنية هي خط الدفاع الأول ضد هذه الهجمات التي تعتمد على الهندسة الاجتماعية، حيث يستغل المهاجمون شغف المطورين بتجربة أحدث أدوات الذكاء الاصطناعي لإيقاعهم في فخ البرمجيات الخبيثة، مما قد يؤدي لتسريب شيفرات مصدرية أو بيانات اعتماد حساسة تضر بالشركات والمشاريع البرمجية الكبرى على حد سواء في ظل هذا التسارع التقني.