برمجية MacSync الخبيثة تدمر أسطورة أمان macOS عبر أدلة ذكاء اصطناعي مزيفة

تستهدف برمجية MacSync infostealer الخبيثة المكتشفة حديثاً حواسيب شركة Apple، مما يثبت أن نظام التشغيل macOS لم يعد ملاذاً آمناً من البرمجيات الخبيثة المعقدة. ووفقاً لتقرير حديث صادر عن فريق Sophos X-Ops، يستخدم المهاجمون طريقة توصيل خادعة تُعرف باسم ClickFix لتجاوز التدابير الأمنية المدمجة. تعتمد هذه الحملة كلياً على ثقة المستخدم بدلاً من الثغرات التقنية المعقدة، مما يحول الضحية إلى منفذ غير مدرك للأكواد الخبيثة.

يُعد هذا التحديث الأمني بالغ الأهمية لجميع مستخدمي نظام macOS، وخاصة أولئك الذين يقومون بتنزيل أدوات الذكاء الاصطناعي بشكل متكرر أو يديرون محافظ العملات المشفرة على أجهزتهم. يتيح فهم هذا التهديد المحدد للمستخدمين التعرف على تكتيكات الهندسة الاجتماعية المتقدمة، وتجنب اختراق أنظمتهم عبر أوامر موجه الأوامر (Terminal) التي تبدو غير ضارة. تاريخياً، تمتع مستخدمو أجهزة Mac بشعور زائف بالأمان مقارنة بنظرائهم في نظام Windows، لكن هذا الهجوم يسلط الضوء على تحول خطير في استراتيجية مجرمي الإنترنت.

تتبع الباحثون في فريق Sophos X-Ops ثلاث حملات هجوم منفصلة نشطت بين شهر نوفمبر 2025 وشهر فبراير 2026. صُممت جميع هذه الحملات لإصابة مستخدمي نظام macOS ببرمجية MacSync infostealer، وهي نوع من البرمجيات الخبيثة التي تقوم بسحب كلمات المرور وبيانات الاعتماد المحفوظة بهدوء في الخلفية. تكمن براعة الهجوم في آلية التوصيل الخاصة به، وهي تقنية ClickFix، والتي تتطلب الحد الأدنى من الجهد التقني من المهاجمين.

بدلاً من الاعتماد على الثغرات البرمجية، تخدع تقنية ClickFix الضحايا لنسخ ولصق أمر خبيث يدوياً في أداة Terminal الخاصة بجهاز Mac. تُعد أداة Terminal تطبيقاً مدمجاً مصمماً لتنفيذ الأوامر النصية، مما يمنحها وصولاً عميقاً إلى نظام التشغيل. بمجرد أن يقوم المستخدم بلصق النص المقدم والضغط على مفتاح الإدخال (Enter)، يتم نشر البرمجية الخبيثة على الفور دون إثارة تحذيرات التنزيل القياسية.

استخدم قراصنة الإنترنت في البداية صفحات تنزيل مزيفة لشركة OpenAI، والتي تم الترويج لها بكثافة عبر الإعلانات الممولة على محرك Google لتظهر فوق نتائج البحث الشرعية. ومع تطور الحملة، أصبح المهاجمون أكثر إبداعاً، حيث شاركوا محادثات مزيفة لمنصة ChatGPT متنكرة في شكل أدلة مفيدة لاستكشاف أخطاء أجهزة Mac وإصلاحها. وجهت هذه الأدلة الخادعة المستخدمين إلى صفحات مزيفة على منصة GitHub تحتوي على تعليمات تثبيت برامج مصممة بعناية.

بحلول شهر ديسمبر 2025، اكتشفت شركة Sophos أن الجهات الخبيثة نجحت في توجيه أكثر من 50,000 نقرة إلى هذه النطاقات الضارة. في حين أن النقرة تشير إلى أن المستخدم قام بنسخ أمر أداة Terminal، فإن عدد الإصابات الفعلي قد يكون أقل قليلاً اعتماداً على ما إذا كان قد تم تنفيذ الأمر بالفعل. وفي شهر فبراير 2026، قام المطورون بتحديث طريقة هجومهم، مما سمح للبرمجية الخبيثة بالعمل بصمت في الخلفية وتجاوز أدوات أمان نظام macOS المختصة بنجاح، مثل أداة Gatekeeper وأداة XProtect.

تُعد عواقب الإصابة الناجحة وخيمة للغاية. حيث تمتلك برمجية MacSync infostealer القدرة على استخراج بيانات حساسة للغاية، بما في ذلك المفتاح الأساسي المكون من 24 كلمة لمحفظة Ledger للعملات المشفرة. وقد تم الإبلاغ عن مجموعات نشطة من الإصابات في أسواق رئيسية عبر أمريكا الشمالية وأمريكا الجنوبية والهند في وقت قريب جداً، وتحديداً في أوائل شهر مارس 2026.

إن نجاح برمجية MacSync infostealer يحطم بشكل أساسي الفكرة السائدة منذ فترة طويلة بأن أجهزة Mac آمنة بطبيعتها بمجرد إخراجها من الصندوق. حقيقة أن المهاجمين تمكنوا من توليد أكثر من 50,000 نقرة بحلول شهر ديسمبر 2025 تثبت أن الخطأ البشري يظل نقطة الضعف المطلقة في أي نظام تشغيل. ومع استمرار منصات الذكاء الاصطناعي مثل منصة ChatGPT في كسب الثقة المطلقة لملايين المستخدمين، يقوم مجرمو الإنترنت بتسليح هذه الثقة الدقيقة لتجاوز طبقات الأمان القوية مثل أداة Gatekeeper.

تثبت هذه الحملة أن البرمجيات الخبيثة الحديثة لا تحتاج إلى كسر الباب الأمامي إذا كان بإمكانها ببساطة إقناع المستخدم بتسليم المفاتيح. للمضي قدماً، قد تحتاج شركة Apple إلى تنفيذ تحذيرات أكثر صرامة داخل تطبيق Terminal نفسه عندما يحاول المستخدمون لصق أوامر معقدة ومتعددة الأسطر منسوخة من متصفحات الويب. وحتى ذلك الحين، يجب على المستخدمين التعامل مع أي دليل عبر الإنترنت يطلب منهم لصق أكواد برمجية في أداة Terminal الخاصة بهم على أنه خطر أمني شديد.

ما هي برمجية MacSync infostealer؟
هي نوع من البرمجيات الخبيثة المخصصة لنظام macOS، والمصممة لسرقة كلمات المرور وبيانات الاعتماد المحفوظة والبيانات الحساسة بهدوء، مثل المفتاح الأساسي المكون من 24 كلمة لمحافظ العملات المشفرة.

كيف تقوم طريقة ClickFix بإصابة جهاز Mac؟
تعتمد تقنية ClickFix على الهندسة الاجتماعية، حيث تخدع المستخدمين لنسخ أمر نصي خبيث من دليل مزيف ولصقه مباشرة في تطبيق Terminal الخاص بنظام macOS.

هل يمكن لأدوات أمان Mac المدمجة إيقاف هذه البرمجية الخبيثة؟
اعتباراً من التحديث الذي طرأ على البرمجية الخبيثة في شهر فبراير 2026، لوحظ أنها تتجاوز أدوات أمان نظام macOS القياسية، بما في ذلك أداة Gatekeeper وأداة XProtect، من خلال العمل بصمت في الخلفية.