تنتشر في الآونة الأخيرة حملة خبيثة جديدة تستهدف مستخدمي أنظمة تشغيل macOS عبر نشر تطبيقات مزيفة تنتحل أسماء برامج شهيرة، وذلك باستخدام مستودعات احتيالية على منصة GitHub.
تقوم هذه التطبيقات المزيفة بتوزيع برمجية خبيثة تُعرف باسم Atomic، وهي أداة لسرقة المعلومات يتم الترويج لها من خلال تقنيات تحسين نتائج البحث على محركات مثل غوغل وبينغ.
وتُباع هذه البرمجية كخدمة مقابل اشتراك شهري زهيد على الويب المظلم، وتتيح للقراصنة استخراج بيانات حساسة من الأجهزة المصابة.
ولمزيد من الأضرار قام مطورو Atomic مؤخرًا بإضافة مكوّن باب خلفي Backdoor يمنح المهاجمين وصولًا مستمرًا وخفيًا إلى أنظمة المستخدمين، مما يزيد من خطورة الهجوم.
تنتحل الحملة الخبيثة الجديدة صفة أكثر من 100 برنامج شهير، منها 1Password، Dropbox، Confluence، Robinhood، Fidelity، Notion، Gemini، Audacity، Adobe After Effects، Thunderbird، وحتى حلول أمنية مثل SentinelOne.
ويعتمد المهاجمون على إنشاء عدد كبير من المستودعات المزيفة عبر حسابات متعددة لتجنب الحذف السريع من GitHub، مع تحسين ظهورها في نتائج البحث.
وتحتوي هذه المستودعات على زر تنزيل يقود المستخدم إلى موقع ثانوي يطلب منه إدخال أمر برمجي لتثبيت البرنامج، ما يمنح المهاجم القدرة على السيطرة على الجهاز.
يذكر أن الهجمات من هذا النوع ليست جديدة على أنظمة macOS . فقد سبق رصد حملات مشابهة تنتحل صفة منصات مثل Booking.com، أو تستغل إعلانات مزيفة للترويج لحلول وهمية لمشكلات النظام.
وبينما تحاول الشركات المعنية مراقبة هذه الحملة والإبلاغ عن المستودعات المزيفة إلى GitHub، فإن المهاجمين قادرون على إنشاء أخرى جديدة بسرعة باستخدام الأتمتة.
لتجنب الوقوع ضحية حملة Atomic الخبيثة ينصح بعدم تنزيل برامج من مصادر مجهولة، والاعتماد فقط على المواقع الرسمية للشركات.
كذلك، من المهم التحقق من أن يكون أي برنامج تم تطويره خصيصًا لـ macOS صادرًا عن جهة موثوقة ومعتمدة من مجتمع التقنية.
