هاكرز كوريا الشمالية يزرعون 108 حزم خبيثة في حملة PolinRider

كشفت تقارير عن حملة PolinRider الكورية الشمالية التي نشرت 108 حزم وتوسعات خبيثة. هذه الهجمات تستهدف مطوري البرمجيات وتهدد سلامة سلسلة التوريد العالمية.
مقدمة تحليلية
في تطور خطير يهدد سلامة سلسلة توريد البرمجيات العالمية، كشفت تقارير حديثة عن حملة هجومية واسعة النطاق أطلقتها مجموعات قرصنة مرتبطة بكوريا الشمالية، والمعروفة بحملة "Contagious Interview". هذه الحملة، التي تحمل الآن اسم "PolinRider"، نجحت في نشر 108 حزمة وتوسعة برمجية خبيثة عبر منصات رئيسية مثل npm وPackagist وGo وحتى متصفح Google Chrome. يشير هذا التصعيد إلى تحول تكتيكي نحو استهداف المطورين والبنية التحتية الأساسية للبرمجيات، مما يثير قلقًا عميقًا بشأن الثقة في الأنظمة مفتوحة المصدر.
تستهدف هذه الهجمات الموجهة بشكل أساسي مطوري البرمجيات والأفراد العاملين في قطاع العملات المشفرة، وذلك باستخدام تكتيكات اجتماعية متقنة تتضمن عروض عمل وهمية ومقابلات تقنية محكمة لخداع الضحايا لتنفيذ أكواد ضارة. إن النشاط، الذي يُعتقد أنه مستمر منذ عام 2023، يمثل تهديدًا مستمرًا ومُتطورًا يتطلب يقظة قصوى من المجتمع التقني.
مع وجود 162 artifact إطلاق خبيثًا، موزعة على 108 حزمة وتوسعة فريدة، تتراوح بين 19 مكتبة npm و10 حزم Composer و61 وحدة Go وتوسعة واحدة لمتصفح Google Chrome، تؤكد حملة PolinRider على النطاق الواسع والتعقيد المتزايد للهجمات التي ترعاها الدول. إن قدرة هذه الجهات الخبيثة على اختراق حسابات المطورين وتعديل المستودعات الشرعية ونشر إصدارات مصابة من الحزم يبرز الحاجة الماسة إلى تعزيز دفاعات سلسلة التوريد.
التحليل التقني
تعتمد حملة PolinRider على مجموعة من الآليات المعقدة التي تهدف إلى البقاء غير مكتشفة واختراق أنظمة المطورين بعمق. يبدأ الاختراق غالبًا بالاستيلاء على حسابات الصيانة للمشاريع مفتوحة المصدر، ربما عبر الاستيلاء على نطاقات منتهية الصلاحية أو مسارات استعادة الحسابات الضعيفة، مما يمنح المهاجمين القدرة على تعديل المستودعات الشرعية ونشر إصدارات حزم مصابة. يتم زرع حمولات JavaScript خبيثة مُشفرة في مئات المستودعات العامة على GitHub، والتي تنتمي إلى العديد من المالكين الفريدين. كانت إحدى المتغيرات المعروفة هي BeaverTail، وهي برمجية JavaScript خبيثة مرتبطة سابقًا بحملة Contagious Interview.
كما تتداخل هذه الحملة مع تجمعات هجومية أخرى مثل TaskJacker، الذي يقوم بزرع ملفات مهام VS Code خبيثة في مستودعات GitHub الخاصة بالمستخدمين. تتضمن هذه المهام خيارًا حرجًا هو "runOn: 'folderOpen'"، والذي يقوم بتشغيل كود عشوائي تلقائيًا بمجرد فتح المجلد كمساحة عمل في بيئة تطوير متكاملة (IDE) مثل VS Code أو Cursor. هذه الآلية تضمن تنفيذ البرمجيات الخبيثة دون تفاعل مباشر إضافي من الضحية، مما يجعلها فعالة للغاية ومخفية.
بمجرد التنفيذ، تقوم البرمجية الخبيثة بفحص الكمبيوتر المصاب بحثًا عن ملفات تكوين شائعة للمشاريع مثل:
postcss.config.mjstailwind.config.jseslint.config.mjsnext.config.mjsbabel.config.jsapp.js
وإذا تم العثور عليها، يتم إلحاق كود JavaScript خبيث بهذه الملفات. للتحايل على الاكتشاف، يستخدم المهاجمون سكربتات دفعية (batch scripts) في Windows لتعديل آخر التزامات Git بشكل خفي، مما يجعلها تبدو وكأنها تمت بواسطة المؤلف الأصلي. ويُشتبه في استخدام أدوات مماثلة لإعادة كتابة تاريخ Git لأنظمة تشغيل أخرى مثل Linux وmacOS.
تستخدم الحمولات في موجة الهجمات الأخيرة مُحمل برمجيات JavaScript خبيثة يتصل ببنية تحتية للبلوكتشين، بما في ذلك خدمات TRON وAptos وBNB Smart Chain، لجلب حمولة مرحلة ثانية مشفرة. هذه الحمولة تقوم بفك التشفير لتثبيت DEV#POPPER RAT وOmniStealer، وهما أداتا تجسس وتحكم عن بعد خطيرتان. هذا الاستغلال للبنية التحتية اللامركزية يضيف طبقة أخرى من التعقيد في تتبع وإيقاف أنشطة المهاجمين.
السياق وتأثير السوق
تُعد حملة PolinRider جزءًا من نمط أوسع من الهجمات التي ترعاها كوريا الشمالية والتي تستهدف بشكل متزايد سلسلة توريد البرمجيات والمطورين الأفراد. تعود جذور هذه الأنشطة إلى حملة Contagious Interview، التي لوحظت لأول مرة في عام 2023. منذ ذلك الحين، تطورت تكتيكات المهاجمين، حيث قاموا بدمج أساليب جديدة وتمويه الأكواد الخبيثة بشكل أكثر فعالية. في مارس 2026، تم تحديد PolinRider لأول مرة بواسطة فريق OpenSourceMalware، الذي وصفها بأنها تتضمن زرع حمولات JavaScript خبيثة في مئات المستودعات العامة على GitHub.
بحلول 11 أبريل 2026، أدت هذه الأنشطة إلى اختراق 1,951 مستودعًا عامًا على GitHub، مرتبطة بـ 1,047 مالكًا فريدًا. هذا العدد الهائل من الاختراقات يسلط الضوء على مدى انتشار الحملة وفعاليتها في استغلال نقاط الضعف في الثقة بين المطورين ومنصات التعاون. كما تم رصد تداخل تكتيكي مع مجموعات هجومية أخرى مثل Fake Font وTaskJacker، مما يشير إلى استراتيجية منسقة ومتعددة الأوجه من قبل المهاجمين.
على مستوى تأثير السوق، تهدد هذه الحملات بتقويض الثقة في أنظمة البرمجيات مفتوحة المصدر، والتي تُعد العمود الفقري للعديد من التطبيقات والخدمات الحديثة. الشركات والمطورون الذين يعتمدون على هذه الحزم معرضون لخطر استغلال واسع النطاق، مما يستلزم استثمارات كبيرة في أدوات وعمليات أمان سلسلة التوريد. تستهدف الحملات قطاع العملات المشفرة بشكل خاص، مما يؤدي إلى خسائر مالية كبيرة وانتهاكات للبيانات الحساسة، ويجبر المؤسسات المالية على مراجعة بروتوكولات الأمان الخاصة بها بشكل عاجل.
إن القدرة على تعديل تاريخ Git والتظاهر بأن التغييرات الخبيثة تمت بواسطة مؤلفين أصليين تجعل من الصعب للغاية على المؤسسات اكتشاف هذه الانتهاكات بشكل تقليدي. هذا يتطلب تحولًا في منهجيات الدفاع، مع التركيز على التدقيق المستمر لسجلات نشاط المستودعات وبيانات تعريف إصدارات الحزم، بالإضافة إلى فحص ملفات تكوين أدوات المطورين.
رؤية Glitch4Techs
تُظهر حملة PolinRider تطورًا مقلقًا في أساليب الهجمات التي ترعاها الدول، خاصة من جانب كوريا الشمالية. إن الاستهداف المباشر لمطوري البرمجيات من خلال عروض عمل وهمية واستغلال نقاط ضعف سلسلة التوريد يمثل تحديًا كبيرًا للأمن السيبراني. تكمن خطورة هذه الحملة في قدرتها على التسلل بعمق إلى بيئات التطوير، حيث يتمتع المهاجمون بفرصة الوصول إلى الأكواد المصدر والبيانات الحساسة.
من أبرز القيود التي تواجه الدفاعات التقليدية هي قدرة المهاجمين على التلاعب بتاريخ Git، مما يجعل من الصعب تحديد متى وكيف تم إدخال الأكواد الخبيثة. إن التمويه باستخدام whitespace padding أو ملفات خطوط وهمية (.woff2) وإخفاء الاتصالات مع خوادم القيادة والتحكم (C2) عبر بنية البلوكتشين يزيد من تعقيد الاكتشاف والاستجابة. هذه التكتيكات تتجاوز مجرد استغلال الثغرات؛ إنها تستهدف الثقة المتأصلة في مجتمع المصادر المفتوحة وبيئات التطوير التعاونية.
بناءً على هذه المعطيات، تتوقع Glitch4Techs استمرار هذه الهجمات المتقدمة والمتطورة. من المرجح أن نرى:
- استهداف متزايد للبنية التحتية الحرجة: ستستمر الجهات الخبيثة في استهداف سلاسل توريد البرمجيات كمفتاح لاختراق عدد كبير من الأنظمة دفعة واحدة.
- تكتيكات هندسة اجتماعية أكثر تعقيدًا: ستصبح عروض العمل الوهمية وغيرها من أساليب الخداع أكثر إقناعًا، وربما يتم تعزيزها باستخدام الذكاء الاصطناعي لإنشاء ملفات تعريف موثوقة.
- تكامل أعمق مع تقنيات إخفاء الهوية: سيتم استغلال المزيد من شبكات البلوكتشين والتقنيات اللامركزية لإخفاء البنية التحتية لـ C2، مما يجعل التتبع والتحليل الجنائي أكثر صعوبة.
- التركيز على أدوات المطورين: ستظل بيئات التطوير المتكاملة (IDEs) ومحررات النصوص مثل VS Code هدفًا رئيسيًا بسبب قدرتهم على تشغيل الأكواد تلقائيًا عند فتح المشاريع.
للتخفيف من هذه المخاطر، توصي Glitch4Techs بالآتي:
- اعتبار البيئات المخترقة بالكامل: في حالة الشك، يجب التعامل مع بيئة التطوير كنظام مخترق تمامًا وتدوير جميع الأسرار وبيانات الاعتماد من جهاز نظيف.
- التحقق الدقيق من الحزم والمصادر: يجب على المطورين والشركات التحقق بدقة من جميع الحزم والتبعيات التي يتم تثبيتها، والاعتماد على مصادر موثوقة فقط.
- المراجعة الدورية لسجلات النشاط: يجب تدقيق سجلات نشاط المستودعات (repository activity logs) وبيانات تعريف إصدارات الحزم (package release metadata) بانتظام بحثًا عن أي تغييرات مشبوهة.
- فحص ملفات تكوين المطورين: يجب فحص ملفات مثل
.vscode/tasks.json، وconfig.js، وvite.config.js، وeslint.config.jsبحثًا عن مسارات تنفيذ خفية أو أكواد ضارة. - تعزيز أمان سلسلة توريد البرمجيات (SSCS): تطبيق ممارسات SSCS قوية، بما في ذلك توقيع الأكواد، ومسح التبعيات، واستخدام أدوات تحليل الثغرات بشكل استباقي.
- التدريب المستمر للمطورين: رفع الوعي بين المطورين حول أحدث أساليب الهندسة الاجتماعية وهجمات سلسلة التوريد.
إن مواجهة هذه التهديدات تتطلب نهجًا شاملاً يجمع بين اليقظة التقنية والتوعية البشرية، لضمان استمرارية الابتكار في بيئة رقمية آمنة.
كن أول من يعرف بمستقبل التقنية
أهم الأخبار والتحليلات التقنية مباشرة في بريدك.
مقالات قد تهمك

فيروس JadePuffer يشن هجوماً آلياً بالكامل عبر وكيل ذكاء اصطناعي

كيان حكومي أمريكي يدفع مليون دولار بابتزاز بيانات كايوس

ثغرة 'Bad Epoll' باللينكس تمنح Root لأندرويد: الذكاء الاصطناعي أخطأها
