تحذير أمني: قراصنة كوريا الشمالية يستهدفون مطوري التطبيقات بفيروس “ذيل القندس”
أحدث التقارير الأمنية تكشف عن تصعيد جديد في الهجمات السيبرانية التي تقودها مجموعة قرصنة مرتبطة بكوريا الشمالية، حيث استهدف القراصنة هذه المرة نظام “npm” الحيوي والواسع الاستخدام من قبل مطوري البرمجيات حول العالم. وقد تمكن القراصنة من نشر 11 حزمة برمجية خبيثة داخل النظام، احتوت على برمجية خبيثة متطورة تُعرف باسم “BeaverTail” (ذيل القندس)، بالإضافة إلى وسيلة تحميل خفية تتيح لهم التحكم عن بُعد بشكل كامل في الأنظمة المخترقة.
وقد أوضح الباحث الأمني المتخصص في شركة Socket، كيريل بويتشينكو، أن القراصنة قد لجأوا إلى استخدام تقنيات تشفير متقدمة ومعقدة لإخفاء الشيفرات الخبيثة بعمق داخل هذه الحزم البرمجية. ويهدف هذا التكتيك إلى تجاوز قدرة أدوات الكشف الآلي وأنظمة المراجعة اليدوية التي تعتمد عليها الشركات والمطورون في فحص البرمجيات. ويشير هذا التطور في أساليب التعتيم والتخفي إلى مستوى عالٍ من الاحترافية والتطور لدى المجموعة المتورطة في هذه الهجمات، وذلك حسب تقرير نشره موقع “thehackernews” واطلعت عليه “العربية Business”.
وقد تم تحميل هذه الحزم الخبيثة أكثر من 5600 مرة قبل أن يتم اكتشافها وإزالتها من نظام “npm”، مما يسلط الضوء على مدى خطورة هذه الهجمات وإمكانية انتشارها الواسع قبل اكتشافها. وقد انتحلت هذه الحزم أسماءً تبدو بريئة وتوحي بأنها أدوات تطويرية مفيدة، مثل “dev-debugger-vite” و “events-utils” و “icloud-cod”. ومن المثير للاهتمام أن بعض هذه الحزم تبين ارتباطها بمستودعات “Bitbucket” بدلًا من “GitHub”، وهو سلوك غير تقليدي يهدف على ما يبدو إلى تضليل الباحثين والجهات الأمنية وتصعيب عملية تتبع مصدر الهجمات.
ووفقًا للتقرير الأمني، فإن هذه الحزم تحتوي على شيفرات خبيثة قادرة على تحميل وتنفيذ أكواد JavaScript عن بُعد باستخدام دالة “eval()”. وتمنح هذه التقنية القراصنة سيطرة شبه كاملة على الأجهزة المصابة بمجرد اختراقها، مما يسهل عليهم تحميل برمجيات ضارة إضافية وتنفيذ عمليات تخريبية أو سرقة بيانات حساسة. وقد تم ربط هذه الهجمات بتحميل برمجيتين خبيثتين إضافيتين هما “InvisibleFerret” و “Tropidoor”.
ويبدو أن هذه الحملة الأخيرة ليست حادثًا منفردًا، بل هي جزء من حملة أوسع نطاقًا تُعرف باسم “المقابلات المعدية” (“Contagious Interview”). في هذه الحملة، يقوم القراصنة باستدراج الضحايا، وخاصة مطوري البرمجيات، تحت غطاء فرص توظيف وهمية ومغرية. وقد تبين أن إحدى الهجمات بدأت برسالة بريد إلكتروني مزيفة تدعي أنها مرسلة من شركة وهمية تدعى “AutoSquare”. وقد دعت الرسالة الضحية إلى تحميل مشروع برمجي من مستودع “Bitbucket”، ليتبين لاحقًا أن هذا المشروع لم يكن سوى غطاء خبيث يهدف إلى نشر برمجية “BeaverTail” وأداة تحميل خبيثة لملفات DLL الضارة.
وقد كشفت التحقيقات الأمنية أيضًا أن برنامج “Tropidoor” – الذي يعتبر أحد المكونات الرئيسية لهذه الهجمات – يعمل بشكل خفي في ذاكرة النظام المصاب فقط، مما يصعب اكتشافه وتحليله. ويقوم هذا البرنامج الخبيث بجمع بيانات حساسة من النظام وتشغيل أوامر نظام التشغيل ويندوز المختلفة، مثل “schtasks” و “reg” و “ping”. وتعتبر هذه التقنيات من الأساليب التي سبق استخدامها في هجمات أخرى نُسبت إلى مجموعة “Lazarus”، وهي الجناح السيبراني الشهير المرتبط بنظام بيونغ يانغ.
ويحذر خبراء الأمن السيبراني بشدة من هذه الهجمات المتطورة والمتعددة المراحل، مشددين على ضرورة توخي الحذر الشديد عند التعامل مع الروابط والمرفقات غير المعروفة والمجهولة المصدر، خاصة تلك التي تأتي متخفية في شكل فرص توظيف مغرية أو مشاريع تطوير مفتوحة المصدر تبدو بريئة. ويؤكد الخبراء على أهمية تحديث البرامج وأنظمة التشغيل بشكل دوري واستخدام برامج مكافحة الفيروسات الموثوقة للكشف عن هذه التهديدات والحماية من الوقوع ضحية لها.
