تحذير أمني: تزايد خطير في انتشار برمجيات خبيثة موثقة من أبل على macOS

نشرت Jamf Threat Labs الأسبوع الماضي بحثًا جديدًا حول نسخة إضافية من عائلة MacSync Stealer التي تزداد انتشارًا، مما يسلط الضوء على مشكلة متنامية في أمن macOS، وهي قدرة برمجيات خبيثة على تجاوز أهم آليات حماية التطبيقات الخارجية لدى أبل.

جاءت هذه النسخة داخل تطبيق خبيث يحمل توقيع مطور صحيح وتم توثيقه عبر نظام notarization، ما يعني أن أداة Gatekeeper لم تمتلك سببًا لمنعه من العمل.

عمل نموذج أبل الأمني تاريخيًا بشكل جيد؛ فالتطبيقات التي توزع خارج Mac App Store يجب توقيعها وتوثيقها حتى يمكن تشغيلها دون خطوات إضافية معقدة.

اقرا ايضا: “معلومات الوزراء” ارتفاع التطبيقات المنشورة في متاجر التطبيقات بمصطلحات (AI Chatbot) أو (AI Chat) بنسبة 1480%

لكن هذا النموذج يفترض أن التوقيع دليل على النية الحسنة. ما يحدث الآن يكشف أن المهاجمين أصبحوا يحصلون على شهادات مطورين حقيقية، ثم يطرَحون برمجيات خبيثة تشبه تمامًا التطبيقات الشرعية عند التثبيت.

استنادًا إلى مصادر متعددة على دراية بالموضوع، يعتمد المهاجمون غالبًا على مجموعة من الأساليب، من بينها استخدام تطبيقات خبيثة تحمل شهادات مطورين تم اختراقها أو شراؤها من قنوات غير قانونية، مما يقلل الشكوك بشكل كبير.

وكما ظهر في تقرير Jamf الأخير، يكون الملف التنفيذي الأول بسيطًا ومبنيًا بلغة Swift، ويبدو غير ضار أثناء الفحص الساكن الذي تجريه أبل، ولا يظهر السلوك الخبيث في هذه المرحلة.

يبدأ السلوك الضار الحقيقي لاحقًا، عندما يتصل التطبيق ببنية تحتية بعيدة لجلب حمولات إضافية. وإذا لم تكن هذه الحمولات موجودة أثناء عملية التوثيق، بل يتم تفعيلها فقط في بيئة الاستخدام الفعلية، فلن تجد أدوات الفحص أي نشاط خبيث خلال التقييم.

تتحقق عملية التوثيق فقط مما يُقدَّم في وقت المراجعة، وليس مما قد يجلبه التطبيق لاحقًا، والمهاجمون باتوا يصممون مخططاتهم وفقًا لهذه الفجوة.

تعود أول حالة معروفة لتطبيق خبيث موثق من أبل إلى عام 2020. وتكررت حالات مشابهة منذ ذلك الوقت، ومنها حالة في يوليو الماضي. هل وصلت المشكلة إلى مرحلة خطيرة؟ ربما لا بعد، فمجرّد حدوث حالة واحدة يُعد كثيرًا من وجهة نظر أمنية، لكنه في الوقت نفسه لا يعني انهيار النظام بالكامل.

من السهل توجيه اللوم إلى أبل، لكن النظام الأمني يعمل في إطار ما صُمم لأجله. فالتوقيع والتوثيق لم يكونا ضمانًا مطلقًا لسلامة التطبيق إلى الأبد، بل وسيلة لربط التطبيق بمطور حقيقي يمكن سحب شهادته عند اكتشاف إساءة الاستخدام.

تمثل هذه الطريقة في الهجوم مسارًا يستحق المتابعة خلال عام 2026، لكنها تذكرنا في النهاية بأن أفضل وسيلة لحماية نفسك من البرمجيات الخبيثة هي تنزيل التطبيقات مباشرة من مطورين موثوقين أو من Mac App Store.