Omnistealer: infostealer يستخدم البلوكشين كـC2

نُشر في أبريل 18, 2026 · بواسطة ALGERIATECH Editorial

⚡ أبرز النقاط

Omnistealer برنامج infostealer حُلّل حديثاً يُخزّن كود مراحله داخل معاملات على سلاسل كتل عامة (TRON وAptos وBinance Smart Chain) لبناء قناة قيادة وتحكم مقاومة للرقابة. تسبّب في اختراق أكثر من 300,000 بيان اعتماد فريد عبر خداع مطوّرين مستقلّين لتشغيل مستودعات مهام برمجية وهمية من LinkedIn وUpwork.

خلاصة: على فِرَق الهندسة والمطوّرين المستقلّين ألا يستنسخوا مستودعات غير موثوقة على جهازهم الرئيسي، وتشغيل EDR على كل حاسوب محمول للمطوّرين باعتباره خطاً قاعدياً غير قابل للتفاوض.

اقرأ التحليل الكامل ↓

🧭 رادار القرار

الأهمية بالنسبة للجزائرمتوسط▾

المطوّرون الجزائريون المستقلّون نشطون بكثافة على LinkedIn وUpwork ويواجهون طُعم المهمة الوهمية نفسه الذي يُغذّي إصابات Omnistealer؛ وكثير من المؤسسات الجزائرية توظّف مطوّرين يُمكن أن يتسلسل اختراقهم إلى وصول الشركة السحابي.

البنية التحتية جاهزة؟جزئي▾

تُشغّل معظم فرق التطوير الجزائرية بيئات مختلطة Windows/macOS بتغطية EDR غير متسقة على حواسيب المطوّرين المحمولة، ونادراً ما تفحص مراقبة الشبكة الصادرة على نقاط نهاية الشركة حركة RPC لسلسلة الكتل.

المهارات متوفرة؟محدود▾

أمن بيئة التطوير وصيد infostealers يبقيان مهارات متخصصة؛ ستحتاج معظم فرق SOC في الجزائر إلى دعم MSSP لاكتشاف C2 المُقيم في سلسلة الكتل.

الجدول الزمني للعمل6-12 شهراً▾

ينبغي تحديد نطاق تحسينات أمن التطوير (بيئات استنساخ في sandbox، EDR على حواسيب المطوّرين المحمولة، MFA مادي) هذا الربع ونشرها على مدى ربعَين.

أصحاب المصلحة الرئيسيونمديرو الهندسة، مديرو أمن المعلومات، المطوّرون المستقلّون، شركاء MSSP

نوع القراراستراتيجي▾

إعادة تشكيل كيفية استنساخ المطوّرين للكود غير الموثوق وتشغيله تحوّل ثقافي طويل الأمد، لا إصلاح لمرة واحدة — ويجب أن يتكيّف التليمتري الدفاعي مع C2 المُقيم في سلسلة الكتل مستقبلاً.

خلاصة سريعة: على منظمات الهندسة الجزائرية والمطوّرين المستقلّين التعامل مع استنساخ أي مستودع GitHub مجهول على محطتهم الرئيسية بوصفه سلوكاً عالي الخطر — انقله إلى VM قابل للتخلص منه، أو Codespace، أو dev container معزول. على مديري الأمن إضافة حركة RPC لسلسلة الكتل إلى قائمة الأنماط الصادرة المشبوهة المُراقَبة في SIEM.

قناة C2 جديدة لا يمكن إسقاطها

الإسقاط هو الطريقة التي تنتهي بها معظم حملات البرمجيات الخبيثة. يتتبع فريق استخبارات التهديد بنية القيادة والتحكم إلى مزوّد استضافة، ويُودع بلاغاً، ثم يختفي نطاق C2 أو الخادم. Omnistealer يكسر هذا النمط. بحسب Malwarebytes، تُخزّن البرمجية كود مراحلها داخل معاملات على سلاسل كتل عامة — TRON وAptos وBinance Smart Chain. ولأن تلك السلاسل append-only وغير قابلة للتعديل، تبقى الحمولات الخبيثة متاحة بشكل دائم. لا يوجد مزوّد استضافة لإصدار مذكرة ضده، ولا سجل DNS لاحتوائه، ولا حساب سحابي لتعليقه.

نمط الهجوم: يتصل لودر Omnistealer الأولي بسلسلة الكتل، ويقرأ بيانات المعاملات، ويستخدمها مؤشراً لجلب الحمولة النهائية وفك تشفيرها. يُؤكّد Security Boulevard وCyber Security Review التقنية نفسها عبر التغطيات. هذا ابتكار بنيوي في البنية التحتية للبرمجيات الخبيثة، لا ترقية تكتيكية.

طُعم مهمة البرمجة الوهمية

ناقل الوصول الأولي لـOmnistealer عصري بامتياز. تحليل Malwarebytes يصف النمط:

يتلقى مطوّر مستقل رسالة على LinkedIn أو Upwork تعرض عقد مهمة برمجية.
يُطلب من المطوّر استنساخ مستودع GitHub وتشغيله محلياً «لتقييم المشروع».
يتضمن المشروع كوداً يبدو حميداً إلى جانب لودر Omnistealer الذي يُنفَّذ أثناء خطوة build/run.
بمجرد التشغيل، يقرأ Omnistealer معاملات سلسلة الكتل للحمولة التالية ويبدأ الإخراج.

يستهدف هذا الطُعم تحديداً الشريحة ذات بيانات الاعتماد الأعلى قيمة: مطوّرون لديهم وصول إلى وحدات تحكم سحابية للشركات، وكود مصدري، ومديري أسرار، وفي كثير من الحالات محافظ عملات مشفرة. الهندسة الاجتماعية بسيطة والتنفيذ التقني غير مرئي لأي شخص لا يُشغّل EDR على محطته.

ماذا يسرق Omnistealer فعلاً

سطح الهدف واسع. يتوافق ملخص VoidNews وتقارير Malwarebytes على الفئات التالية:

10+ مديري كلمات مرور، بما في ذلك LastPass — هدف ملحوظ بالنظر إلى تاريخه مع اختراق 2022.
متصفحات رئيسية بما فيها Chrome وFirefox، لبيانات الاعتماد المُخزّنة وملفات تعريف الارتباط ورموز الجلسات.
حسابات تخزين سحابي بما فيها Google Drive.
60+ محفظة عملات مشفرة قائمة على المتصفح بما فيها MetaMask وCoinbase Wallet.

أُخترقت أكثر من 300,000 بيانات اعتماد فريدة بالفعل، وتضم بِرَك الضحايا شركات أمن سيبراني وشركات دفاع ووكالات حكومية. هذا المزيج مهم: ليست مجرد حملة ضد حاملي العملات المشفرة. الهوية المؤسسية هي الجائزة الأولى.

لماذا سيُقلَّد C2 القائم على سلسلة الكتل

يُقلّد فاعلو التهديد ما يُفلح. C2 المُقيم في سلسلة الكتل يُفلح لأنه يحلّ مشكلة الإسقاط دون إدخال أعباء تشغيلية كبيرة. توقّع رؤية النمط نفسه متبنى من عائلات برمجيات خبيثة أخرى خلال أشهر، لا سنوات. الآثار على المدافعين ثلاثية:

مؤشرات IOC المستندة إلى قوائم نطاقات C2 ستتدهور. تبقى قوائم حجب النطاقات مفيدة لكنها تلتقط أقل من سلسلة الهجوم. عناوين سلسلة الكتل يمكن أن تدور بحرية ويصعب حجبها على مستوى الشبكة.
الكشف على مستوى الشبكة يتحوّل. الاتصالات الصادرة إلى نقاط نهاية RPC لسلسلة الكتل (العُقد العامة لـTRON وAptos وBSC) من نقاط نهاية الشركة التي لا سبب تجاري لاستعلامها لسلاسل الكتل تصبح كشوف إشارة عالية.
شراكات الإسقاط تفقد فاعليتها. إسقاطات إنفاذ القانون للمضيفات bulletproof تبقى مفيدة ضد خوادم الوصول الأولي لكنها لا تؤثر على مرحلة استرداد الحمولة الثانوية.

نظافة أمن المطورين التي توقف Omnistealer فعلاً

للمطوّرين والشركات الصغيرة المتمحورة حول التطوير وفرق الهندسة من أي حجم، حزمة الدفاع ليست غريبة:

لا تستنسخ مستودعات غير موثوقة وتُشغّلها على محطتك الرئيسية أبداً. استخدم جهاز VM قابلاً للتخلص منه، أو dev container في sandbox، أو بيئة تطوير سحابية (GitHub Codespaces، Gitpod، Coder). Cyber Security Review يُشير إلى أن هذا الضابط هو الأعلى رافعة.
EDR على حواسيب المطوّرين المحمولة غير قابل للتفاوض. تُعامل كثير من منظمات الهندسة أجهزة المطوّرين كحالات خاصة — يجب أن تكون من بين أكثر نقاط النهاية مراقبةً في الأسطول.
مفاتيح مادية للـMFA على جميع وحدات التحكم الإدارية. رموز FIDO2 مقاومة لسرقة ملفات تعريف الارتباط للجلسات، وهي هدف رئيسي للإخراج في Omnistealer.
ألغِ بانتظام جلسات المتصفح المُخزَّنة. برامج infostealers تستفيد من تخزين المتصفحات لرموز جلسات طويلة الأمد؛ ضيّق مزوّدو المتصفحات هذا مؤخراً لكن الإعدادات المؤسسية متأخرة.
قواعد خروج شبكي تُشير إلى حركة RPC لسلسلة الكتل من نقاط نهاية لا سبب تجاري لها لاستعلام سلاسل كتل عامة.

الصورة الأكبر لتطوّر infostealers

Omnistealer هو المثال الرائد، لكن infostealers تخوض ترقية تقنية أوسع. تحليل eSentire لـSTX RAT، المنشور أيضاً في 2026، يُسلّط الضوء على أن قدرات infostealer تُلحَق بـRemote Access Trojans، وقد أفاد Cyble بـinfostealers تستهدف مستخدمي LinkedIn تحديداً. الاتجاه واضح: تنتقل infostealers إلى أعلى السوق لاستهداف الهوية المؤسسية ووصول المطوّرين، لا محافظ العملات المشفرة للمستهلكين فحسب.

لمديري الأمن، الرسالة مباشرة. عمليات برامج الفدية وسرقة المعلومات مبتدئة المستوى في 2024 اعتمدت على تقنيات شائعة يستطيع الدفاع الشائع إيقافها. نسخ 2026 — C2 سلسلة الكتل، طُعوم تستهدف المطوّرين، تهرّب عدواني — تتطلّب استثماراً استباقياً في نظافة بيئة المطوّرين وتليمتري نقاط النهاية. لا يمكن الاستيلاء على سلسلة الكتل. أما ميزانية الاستجابة للحوادث فممكن.

تابعوا AlgeriaTech على LinkedIn للتحليلات التقنية المهنية تابعوا على LinkedIn

تابعونا @AlgeriaTechNews على X للحصول على أحدث تحليلات التكنولوجيا تابعنا على X

الأسئلة الشائعة

ما الذي يُميّز Omnistealer عن infostealers السابقة؟

تسحب معظم infostealers حمولاتها من خوادم يتحكم بها المهاجم، يمكن إسقاطها من قِبَل إنفاذ القانون أو مزوّدي الاستضافة. Omnistealer يُخزّن كود مراحله داخل معاملات على سلاسل كتل عامة مثل TRON وAptos وBinance Smart Chain. ولأن تلك السلاسل append-only وغير قابلة للتعديل، لا يمكن إزالة الكود الخبيث. هذا يُحوّل القيادة والتحكم من مشكلة بنية تحتية مؤقتة إلى مشكلة دائمة — دليل الإسقاط الذي اعتمد عليه المدافعون لسنوات لا ينطبق.

كيف يُخدع المطوّرون لتثبيت Omnistealer؟

تستخدم الحملة طُعم «مهمة برمجة وهمية». يتلقى مطوّر مستقل عرضاً على LinkedIn أو Upwork لتقييم مشروع. يُطلب منه استنساخ مستودع GitHub وتشغيله محلياً. يبدو المستودع كمشروع عادي لكنه يحتوي على لودر Omnistealer الذي يُنفَّذ أثناء خطوة build أو run. ثم تقرأ البرمجية بيانات معاملات سلسلة الكتل لجلب حمولتها التالية وتبدأ سرقة بيانات الاعتماد من مديري كلمات المرور والمتصفحات والتخزين السحابي ومحافظ العملات المشفرة.

ماذا ينبغي للمطوّرين وفرق الهندسة فعله الآن؟

ثلاثة ضوابط ملموسة: (1) لا تستنسخ وتُشغّل مستودعات غير موثوقة على محطتك الرئيسية أبداً — استخدم VM قابلاً للتخلص منه، أو dev container في sandbox، أو بيئة تطوير سحابية مثل GitHub Codespaces أو Gitpod. (2) تأكد من نشر EDR على كل حاسوب محمول للمطوّرين، لا على نقاط النهاية العامة فقط. (3) أضف مفاتيح مادية FIDO2 للـMFA على جميع وحدات التحكم الإدارية ومحافظ العملات المشفرة، بما أن Omnistealer يستهدف ملفات تعريف الارتباط للجلسات المُخزَّنة وخزائن مديري كلمات المرور. على SOC المؤسسية أيضاً الإشارة إلى حركة RPC لسلسلة الكتل الصادرة من نقاط نهاية لا نشاط بلوكشين مشروع لها.