ثغرة تهز macOS: MacSync Stealer يتسلل عبر توثيق Apple لسرقة الحسابات

في السنوات الأخيرة تعوّد مستخدمو macOS على الثقة العمياء في أن كل تطبيق يحمل توقيعًا رسميًا أو ختمًا من Apple هو بالضرورة آمن. لكن مشهد الأمان الرقمي يتغير بسرعة، وأحدث الأبحاث تكشف عن ثغرة مقلقة في هذا الإحساس بالأمان. فقد رصدت مختبرات Jamf Threat Labs نسخة جديدة من عائلة برمجيات خبيثة تُعرف باسم MacSync Stealer، نجحت في المرور من منظومة المصادقة والتوثيق الخاصة بشركة Apple دون أن تُكتشف.

يعتمد macOS منذ سنوات على مفهوم التوقيع الرقمي والتحقق عبر خدمة "التوثيق" أو "النوتريزايشن"، لضمان أن التطبيقات الموزعة خارج متجر Mac App Store يمكنها العمل بلا تدخل إضافي من المستخدم، شرط أن تكون موقعة من مطور موثوق. غير أن هذا النموذج يقوم على افتراض بسيط: أن المطور حسن النية وأن الشهادة لم تُستخدم في غرض خبيث. ما يحدث اليوم هو أن بعض الجهات المهاجمة تحصل بالفعل على شهادات مطورين حقيقية، سواء عن طريق الاختراق أو الشراء عبر قنوات مظلمة، ثم تُصدر تطبيقات تبدو شرعية تمامًا لحظة تنصيبها.

يُظهر تحليل Jamf أن التطبيقات الخبيثة الحديثة تعتمد على تصميم مرحلي ذكي. الملف الأولي الذي يُقدَّم إلى Apple للفحص قد لا يحمل أي شيفرة ضارة، بل يقوم فقط بتحميل مكونات إضافية من الإنترنت بعد التشغيل الحقيقي على جهاز المستخدم. بهذه الطريقة، يمر التطبيق بكل اختبارات Apple دون اعتراض، لأن السلوك الخبيث لا يتكشف إلا بعد الإطلاق في بيئة المستخدم الفعلية. هذا التفاف بارع على أدوات الكشف التقليدية التي تُقيِّم ما هو موجود وقت التوثيق فقط.

من السهل توجيه اللوم إلى Apple عند ظهور مثل هذه الحوادث، لكن الواقع أكثر تعقيدًا. فأنظمة التوقيع والتوثيق لم تُبنَ لتضمن براءة التطبيق إلى الأبد، بل لتتيح تتبّع مصدره وإبطال الشهادة لاحقًا إذا ثبت سوء الاستخدام. إنها آلية لمساءلة المطورين أكثر من كونها درعًا مانعًا لكل هجوم. ومع ذلك، فإن ازدياد حالات البرامج الموقعة والمُوثقة التي تتضمن سلوكًا خبيثًا يشير إلى حاجة ملحّة لتوسيع آليات الفحص بما يتجاوز التحليل الساكن.

هذه التطورات تضع المستخدم العادي أمام معضلة جديدة: هل يمكن الاستمرار في الثقة بعلامة التوثيق وحدها؟ بينما في عالم ويندوز أصبح مألوفًا التحقق من كل ملف يدويًا، كان مستخدمو macOS يعلقون ثقتهم في نظام الحماية المدمج. الآن، ومع ظهور برمجيات مثل MacSync Stealer، يبدو أن على المستخدمين التحلي بقدر أكبر من الحذر، واللجوء إلى التطبيقات المعروفة أو تلك القادمة من متجر Apple الرسمي كلما أمكن.

منذ اكتشاف أول حالة برمجية موثقة رسميًا في عام 2020، وعدد الحالات يتزايد تدريجيًا، مما يجعل المتخصصين يراقبون ما إذا كانت المنظومة تحتاج إلى إعادة تصميم شاملة. ربما يكون الحل في استخدام تقنيات أكثر ديناميكية تعتمد على الذكاء الاصطناعي لرصد الأنماط السلوكية لاحقًا وليس فقط في لحظة الاعتماد.

في النهاية، تبقى دروس هذه الحوادث واضحة: الأمن التقني ليس حالة نهائية بل عملية مستمرة تحتاج إلى توازن دائم بين الثقة والمراجعة. ربما لا يزال نظام Apple هو من الأكثر أمانًا، لكنه لم يعد معصومًا من الخداع، وفي غياب وعي المستخدم ومتابعته، حتى أكثر الأنظمة حصانة يمكن أن تُخترق من الداخل.