تستغل نسخة جديدة من تقنية ClickFix شعبية أداة Claude Code من Anthropic وغيرها من أدوات البرمجة المدعومة بالذكاء الاصطناعي.
تستغل نسخة جديدة من تقنية ClickFix شعبية أداة Claude Code من Anthropic وغيرها من أدوات البرمجة المدعومة بالذكاء الاصطناعي.
اكتشف باحثون في Push Security حملة تهديد تجمع بين الإعلانات الضارة وهجوم الهندسة الاجتماعية. وجدت فريق البحث صفحات تثبيت مزيفة لأداة Claude Code تنتشر حصريًا من خلال روابط مدفوعة من جوجل لعمليات البحث مثل “Claude Code” و”تثبيت Claude Code” و”CLI Claude Code”.
تكون صفحات التثبيت المقلدة للمساعد البرمجي من Anthropic متطابقة تقريبًا مع النسخة الأصلية، كما أوضح جاك لوي، المؤسس المشارك لشركة Push Security ورئيس قسم المنتجات (CPO) في منشور مدونة نُشر يوم الجمعة. لكن عندما يقوم الضحايا بنسخ أوامر التثبيت الضارة من المواقع المقلدة، فإنهم ينشرون برنامج Amatera Stealer الضار، الذي يمكن أن يسرق بيانات اعتماد المطورين ويمنح المهاجمين الوصول إلى بيئات تطوير المؤسسات.
على الرغم من عدم وجود شيء ثوري في هذا النهج، الذي تسميه Push Security “InstallFix”، أوضح لوي أن المهاجمين قد أدركوا الميل المتزايد بين المستخدمين لنسخ ولصق الأوامر ببساطة في أنظمتهم وتنفيذها. تسلط الهجمات الضوء على ممارسة غير آمنة أصبحت، للأسف، القاعدة في هذه الأيام.
“كان هناك وقت، ليس ببعيد، عندما كان لصق أمر من موقع ويب مباشرة في الطرفية شيئًا لن تحاول القيام به مرة واحدة قبل أن يضربك مهندس كبير على رأسك”، كتب لوي. “لأنك فعليًا تمنح موقع الويب شيكًا فارغًا لتنفيذ ما يريده على نظامك.”
ClickFix وأدوات CLI تشكلان تطابقًا خطيرًا
تعتبر ClickFix تقنية هندسة اجتماعية مستخدمة على نطاق واسع تقدم عادةً رسائل خطأ من نوع ما لإقناع المستخدمين غير المشتبه بهم بتنفيذ أوامر ضارة. عادةً ما تحتوي رسائل الخطأ على تحديثات مزيفة للمتصفح، ولكن قد استخدمت تقنيات مختلفة كل شيء من شاشات الموت الزرقاء المزيفة إلى أخطاء صوتية لمقابلات عمل مزيفة عبر مؤتمرات الفيديو.
ومع ذلك، قد تكون InstallFix هي النسخة الأكثر ملاءمة حتى الآن لأنها تستهدف فئة من المستخدمين الذين ربما يكونون مرتاحين لنسخ ولصق الأوامر. مثل العديد من المساعدين البرمجيين المدعومين بالذكاء الاصطناعي، أوضح لوي أن طريقة التثبيت الموصى بها لأداة Claude Code هي لصق وتنفيذ أمر من سطر واحد في الطرفية.
وليس فقط المساعدين البرمجيين المدعومين بالذكاء الاصطناعي؛ كتب لوي أن المئات من أكثر أدوات المطورين شيوعًا وأدوات واجهة الأوامر (CLI) تأتي مع نفس تعليمات التثبيت. يعرف المهاجمون أن هذه الممارسة أصبحت معيارًا الآن ويستغلونها.
“تتمحور نموذج الأمان بالكامل حول “ثقة المجال”. ومع تشجيع اعتماد الذكاء الاصطناعي لمزيد من المستخدمين غير التقنيين للعمل مع الأدوات التي كانت تستخدمها سابقًا فقط المطورين، يصبح هذا تهديدًا لعدد أكبر بكثير من المستخدمين الأقل وعياً بالأمان”، كتب لوي.
استغلال Claude Code
وفقًا لشركة Push Security، تعتبر إعلانات جوجل الضارة آلية تسليم مثالية لأنه، على عكس رسائل البريد الإلكتروني الاحتيالية، لن يتم اكتشاف الروابط الضارة بواسطة فحوصات أمان البريد الإلكتروني. بالإضافة إلى ذلك، يستفيد المهاجمون من الاهتمام المتزايد بأداة Claude Code مع نتائج البحث المدفوعة، التي تظهر فوق نتائج البحث العضوية وقد تخدع المستخدمين الذين ينقرون بسرعة على رابط دون أن يدركوا أنه إعلان.
بينما قد تبدو حملة InstallFix وكأنها مصممة للاستفادة من اعتماد الذكاء الاصطناعي غير الرسمي والمبرمجين غير المتمرسين، يخبر لوي Dark Reading أن هذا ليس بالضرورة هو الحال. تستهدف الجهات الفاعلة في التهديد وراء الحملة أداة الذكاء الاصطناعي الرئيسية التي من المحتمل أن تكون قيد الاستخدام بالفعل في العديد من المؤسسات، والطريق المليء بالمخاطر الذي يسلكه المستخدم لتثبيت الأداة، كما يقول. يمكن أن تؤثر الخطة على كل من المطورين ذوي الخبرة والمبرمجين الهواة.
“أشك في أن هذه الحملة تستهدف Claude Code تحديدًا، لأنها واحدة من الأدوات (إن لم تكن الأداة) التي يتم اعتمادها بشكل أسرع عبر اللوحة”، كما يقول. “هذا يتماشى مع المعدل العالي لإنشاء حسابات جديدة الذي نراه عبر عملائنا لمنتجات Anthropic.”
حذرت Push Security من أنه بالإضافة إلى استغلال روابط جوجل المدفوعة، تستخدم الجهات الفاعلة في التهديد وراء هجمات InstallFix مجالات من مزودين شرعيين مثل Cloudflare Pages وTencent EdgeOne وSquarespace، والتي تبدو غير ضارة وتندمج مع نشاط المرور العادي. قال لوي إن مثل هذا الاستغلال كان موضوعًا شائعًا لاحظته Push Security عبر كل موقع تصيد تقريبًا ورابط ضار في هذه الأيام.
يجب على المستخدمين توخي الحذر الشديد عند نسخ ولصق الأوامر في طرفياتهم ويجب أن يأخذوا وقتًا إضافيًا للتحقق من أن المجالات التي تقدم مثل هذه الأوامر هي في الواقع أصلية. بينما قدمت Push Security مؤشرات على الاختراق (IoCs) لهجمات InstallFix، قال لوي إن البيانات لها قيمة محدودة لأن المجالات الخاصة بحملات مثل هذه تميل إلى أن يكون لها عمر قصير.
“هذه حالة سريعة الحركة، مع إنشاء مجالات باستمرار”، كتب.
يجب على المستخدمين توخي الحذر الشديد عند نسخ ولصق الأوامر في طرفياتهم ويجب أن يأخذوا وقتًا إضافيًا للتحقق من أن المجالات التي تقدم مثل هذه الأوامر هي في الواقع أصلية.
