في تصعيد خطير للهجمات الإلكترونية على سلاسل التوريد البرمجية، كشف باحثون في الأمن السيبراني عن قيام مجموعة تهديدات مدعومة من كوريا الشمالية، والمعروفة بحملة “المقابلة المعدية” (Contagious Interview)، بنشر 197 حزمة npm خبيثة جديدة خلال الشهر الماضي، مستهدفة مطوري البرمجيات ومستخدمي JavaScript حول العالم.
برمجية OtterCookie: نسخة هجينة أكثر تطورًا
وفقًا لتقرير صادر عن شركة Socket، فإن الحزم الخبيثة التي تم تحميلها أكثر من 31 ألف مرة، صُممت لتوزيع نسخة محدثة من برمجية OtterCookie، والتي تم دمجها مع خصائص برمجية BeaverTail وإصدارات سابقة من OtterCookie. من بين الحزم التي تم تحديدها: bcryptjs-node، cross-sessions، node-tailwind، و`webpack-loadcss`. هذه الحزم تعمل كـ”محملات” (loaders) تقوم بجمع معلومات عن الجهاز، وتجاوز بيئات الاختبار الافتراضية، وإنشاء قناة تحكم عن بُعد (C2) تتيح للمهاجمين تنفيذ أوامر، وسرقة بيانات حساسة مثل كلمات المرور، محتوى الحافظة، بيانات المتصفحات، محافظ العملات الرقمية، وعبارات الاسترداد.
GitHub وVercel: بنية تحتية خبيثة متنكرة في أدوات مطورين
أظهرت التحليلات أن الحزم الخبيثة تتصل بعنوان URL ثابت على منصة Vercel، والذي يقوم بجلب الحمولة الخبيثة من مستودع GitHub تابع للمهاجمين. وعلى الرغم من إغلاق الحساب المستخدم في الاستضافة (stardev0914)، فإن الحملة لا تزال نشطة، مما يعكس قدرة القراصنة على التكيف مع بيئات التطوير الحديثة، خاصة تلك المعتمدة على JavaScript والعملات الرقمية.
هجمات “ClickFake Interview”: التوظيف الزائف كسلاح اختراق
بالتوازي مع حملة npm، أطلقت نفس المجموعة مواقع توظيف وهمية تستخدم تعليمات مزيفة لإصلاح الكاميرا أو الميكروفون، لتثبيت برمجية خبيثة تُعرف باسم GolangGhost (أو FlexibleFerret). هذه البرمجية، المكتوبة بلغة Go، تتصل بخادم C2 وتنفذ أوامر نظام التشغيل، وتجمع معلومات من متصفح Chrome، وتُثبت نفسها تلقائيًا عبر LaunchAgent في macOS. كما تُظهر تطبيقًا زائفًا يحاكي نافذة إذن الوصول إلى الكاميرا في Chrome، يتبعها نافذة تطلب كلمة المرور، يتم إرسال محتواها إلى حساب Dropbox تابع للمهاجمين.
استهداف الأفراد عبر بوابات التوظيف: تكتيك جديد في الحرب السيبرانية
على عكس حملات كوريا الشمالية السابقة التي ركزت على زرع عملاء داخل شركات حقيقية، تهدف حملة “المقابلة المعدية” إلى استهداف الأفراد مباشرة من خلال منصات توظيف مزيفة، وتمارين برمجية خبيثة، ومقابلات عمل وهمية. هذا النهج الجديد يُحوّل عملية التوظيف إلى سلاح اختراق متقن، مستغلًا ثقة الباحثين عن عمل في منصات التوظيف الرقمية.
