قراصنة من كوريا الشمالية ينشرون برمجية BeaverTail الخبيثة عبر حزم npm الخبيثة
ظهرت موجة جديدة من هجمات قراصنة كوريين شماليين، تستهدف مجتمع تطوير البرمجيات عبر حزم npm الخبيثة. هذه الحزم، المرتبطة بحملة "المقابلة المعدية" المستمرة، مصممة لنشر برمجية BeaverTail الخبيثة ، بالإضافة إلى أداة تحميل حصان طروادة للوصول عن بُعد (RAT) مُكتشفة حديثًا. تُعد هذه الحملة جزءًا من جهد أوسع نطاقًا لمجموعة Lazarus لاختراق الأنظمة، وسرقة البيانات الحساسة، والحفاظ على وصول طويل الأمد إلى الأجهزة المُخترقة.
جدول المحتويات
تقنيات التعتيم المستخدمة للتهرب من الكشف
وفقًا لباحث أمن Socket، كيريل بويتشينكو، فإن هذه العينات الأخيرة تستخدم ترميزًا سداسي عشريًا للسلاسل النصية كتقنية تعتيم، مما يجعل اكتشافها أصعب من خلال الأنظمة الآلية وعمليات التدقيق اليدوية للأكواد. يُظهر هذا التحديث في استراتيجية التهرب من البرامج الضارة تطورًا واضحًا في أساليب الجهات الفاعلة في التهديد لتجاوز التدابير الأمنية.
الحزم الخبيثة المتخفية في صورة أدوات للمطورين
تم تنزيل حزم npm الخبيثة أكثر من 5600 مرة قبل إزالتها. من بين الحزم الخطيرة: empty-array-validator، وtwitterapis، وdev-debugger-vite، وsnore-log، وcore-pino، وevents-utils، وicloud-cod، وcln-logger، وnode-clog، وconsider-log، وconsider-logger. صُممت هذه الحزم لتبدو وكأنها أدوات مساعدة أو مصححات أخطاء شرعية، لكنها في الواقع كانت تحمل حمولات خبيثة.
سرقة البيانات من خلال مقابلات العمل المزيفة
يأتي هذا الكشف في أعقاب حادثة مماثلة وقعت قبل شهر، حيث اكتُشفت ست حزم npm تُنشر BeaverTail، وهو برنامج لسرقة جافا سكريبت يُدخل أيضًا بابًا خلفيًا قائمًا على بايثون يُسمى InvisibleFerret. الهدف النهائي من هذه الهجمات هو التسلل إلى أنظمة المطورين متخفيًا في شكل مقابلات عمل. بمجرد دخول البرنامج الخبيث، يسرق معلومات حساسة، ويستنزف الأصول المالية، ويسمح للمخترقين بالوصول الدائم إلى الأنظمة المُخترقة.
روابط لمجموعة Lazarus وحملة Phantom Circuit
إحدى الحزم البارزة، dev-debugger-vite، استخدمت عنوانًا للتحكم والقيادة (C2) سبق أن حدّدته SecurityScorecard على أنه مرتبط بمجموعة Lazarus في حملة تُسمى Phantom Circuit، والتي وقعت في ديسمبر 2024. كما وُجد أن حزمًا أخرى، مثل events-utils وicloud-cod، مرتبطة بمستودعات Bitbucket، مما يُخالف أهداف GitHub المُعتادة التي شوهدت في الحملات السابقة. يشير هذا التحول، إلى جانب دليل "eiwork_hire" الموجود داخل حزمة icloud-cod، إلى أن المهاجمين يواصلون استخدام أساليب مُرتبطة بمقابلات العمل لتنشيط العدوى.
متغيرات متعددة لتعظيم نجاح العدوى
كشف تحليل بعض الحزم، بما في ذلك cln-logger وnode-clog وconsider-log وconsider-logger، عن اختلافات طفيفة في الكود. تشير هذه التغييرات إلى أن الجهات الفاعلة في مجال التهديد تسعى لزيادة معدل نجاح حملتها من خلال نشر نسخ متعددة من البرامج الضارة. على الرغم من هذه الاختلافات، يعمل الكود المُضمّن في هذه الحزم الأربع كمُحمّل RAT قادر على جلب وتنفيذ حمولات إضافية من خوادم بعيدة. في هذه المرحلة، لا تزال طبيعة البرنامج الخبيث المُحمّل غير واضحة، حيث لم تعد نقاط نهاية C2 تُقدّم حمولات عندما أجرى الباحثون تحقيقاتهم.
يتيح برنامج RAT Loader التحكم عن بعد في الأنظمة المصابة
وصف بويتشينكو الكود الخبيث بأنه مُحمِّل نشط مزود بإمكانيات RAT، ويستخدم دالة eval() لجلب وتشغيل JavaScript عن بُعد. تتيح هذه الطريقة للمهاجمين نشر أي برمجيات خبيثة لاحقة من اختيارهم، مما يجعل مُحمِّل RAT بحد ذاته تهديدًا كبيرًا.
حملة المقابلات المعدية لا تظهر أي علامات على التباطؤ
تؤكد هذه النتائج استمرار حملة "المقابلة المعدية". لم يُبدِ المهاجمون أي علامات على التباطؤ، إذ واصلوا إنشاء حسابات جديدة على npm ونشر برمجيات خبيثة عبر منصات مختلفة مثل npm وGitHub وBitbucket. كما نوّعوا أساليبهم، بنشر برمجيات خبيثة جديدة تحت أسماء مستعارة مختلفة، مستخدمين مزيجًا من مستودعات التخزين، ومستفيدين من متغيرات معروفة من البرمجيات الخبيثة مثل BeaverTail وInvisibleFerret، إلى جانب متغيرات أحدث من RAT/loader.
ظهور برنامج Tropidoor الخبيث في هجمات التصيد الاحتيالي التي تستهدف المطورين
في غضون ذلك، كشفت شركة الأمن السيبراني الكورية الجنوبية AhnLab مؤخرًا عن جانب آخر من الحملة. فقد حددت هجوم تصيد احتيالي بدافع التجنيد، يُطلق عليه BeaverTail، والذي يُستخدم بعد ذلك لنشر برمجية خبيثة غير موثقة سابقًا لنظام Windows تُسمى Tropidoor. هذه البرمجية، التي تُرسل عبر مكتبة npm مُستضافة على Bitbucket، قادرة على تنفيذ مجموعة واسعة من العمليات الخبيثة. يستطيع Tropidoor استخراج الملفات، وجمع معلومات حول محركات الأقراص والملفات، وتشغيل العمليات، والتقاط لقطات شاشة، وحتى حذف الملفات أو استبدالها ببيانات فارغة أو غير مرغوب فيها.
تشير الإمكانيات المتقدمة إلى رابط لبرنامج Lazarus الخبيث المعروف
وجد تحليل AhnLab أن Tropidoor يعمل في الذاكرة عبر برنامج تنزيل، ويتصل بخادم C2 لتلقي التعليمات. يستخدم البرنامج الخبيث أوامر Windows مباشرةً، مثل schtasks وping وreg، والتي لُوحظت أيضًا في برامج ضارة أخرى لمجموعة Lazarus، مثل LightlessCan. ويربط هذا الارتباط النشاط الحالي بالمجموعة الكورية الشمالية، المعروفة بسوء سمعتها باستخدام أساليب تجسس إلكتروني متطورة .
حث المطورين على البقاء يقظين ضد هجمات سلسلة التوريد
تُبرز الاكتشافات الأخيرة التهديد المستمر الذي تُشكله مجموعة لازاروس وغيرها من جهات التهديد المتقدمة المستمرة. يجب على المطورين والمستخدمين على حد سواء توخي الحذر عند تنزيل الحزم أو فتح الملفات من مصادر مجهولة أو مشبوهة. مع استمرار تطور هذه الهجمات، يُعدّ التحلي باليقظة ضد حملات التصيد الاحتيالي وفحص التبعيات بحثًا عن برمجيات خبيثة أمرًا بالغ الأهمية لحماية المعلومات الحساسة من الوقوع في الأيدي الخطأ.