محافظ الكريبتو تحت التهديد من مستودع مزيف باسم OpenAI لسرقة بيانات العملات الرقمية
كشف باحثو الأمن السيبراني في HiddenLayer عن مستودع مزيف على منصة Hugging Face يحمل اسم “Open-OSS/privacy-filter”، تمكن من تحقيق ما يقارب 244 ألف عملية تنزيل قبل حذفه، في حادثة تسلط الضوء على تصاعد مخاطر الأمن السيبراني وسلاسل التوريد البرمجية المفتوحة المصدر.
واحتوى المستودع على برنامج خبيث مكتوب بلغة Rust، صُمم لاستهداف أجهزة Windows عبر سرقة بيانات حساسة تشمل بيانات المتصفح ومحافظ العملات الرقمية ومفاتيح المطورين، إلى جانب بيانات اعتماد SSH وFTP وVPN، ما يجعله تهديدًا مباشرًا للبنية الرقمية للمستخدمين والمطورين.
ووفقًا للتحليل الأمني، اعتمد المهاجمون على انتحال هوية نموذج OpenAI الأصلي “فلتر الخصوصية”، مع استخدام اسم مشابه ووثائق شبه مطابقة لخداع المطورين، وهو ما يعكس أسلوبًا متقدمًا في الهندسة الاجتماعية والهجمات عبر منصات الذكاء الاصطناعي المفتوحة.
وأظهرت التحقيقات أن المستودع الخبيث احتوى على سكريبتات مضللة تبدو كأدوات تشغيل عادية، لكنها تضمنت أوامر لتعطيل التحقق الأمني وتشغيل PowerShell مخفي، بالإضافة إلى إنشاء مهام مجدولة تتنكر في شكل تحديثات لمتصفح Microsoft Edge.
كما أشار التقرير إلى أن البرمجية الخبيثة قامت بتجاوز أدوات الحماية مثل Microsoft Defender، واستخدمت آليات لتفادي البيئات الافتراضية وأدوات التحليل الأمني، قبل أن تقوم بتشغيل ملف تنفيذي مكتوب بلغة Rust يقوم بجمع البيانات الحساسة وإرسالها إلى خوادم تحكم خارجية.
ورغم تسجيل 244 ألف عملية تنزيل، لم تؤكد التحقيقات وقوع عدد مماثل من الإصابات الفعلية، حيث لا يزال غير واضح عدد المستخدمين الذين قاموا فعليًا بتشغيل الأكواد الخبيثة، فيما أكدت الجهات الأمنية أن الحادث يمثل انتحال هوية وليس اختراقًا مباشرًا لـOpenAI أو Hugging Face.
وتوصي تقارير الأمن السيبراني المستخدمين الذين قاموا بتنزيل المستودع باعتبار أجهزتهم مخترقة، مع ضرورة إعادة تثبيت النظام وتغيير جميع كلمات المرور ومفاتيح الوصول، إضافة إلى نقل الأصول الرقمية إلى محافظ جديدة أكثر أمانًا، في ظل تزايد الهجمات التي تستهدف قطاع العملات الرقمية والمطورين عبر أدوات مفتوحة المصدر.
