تخطى إلى المحتوى الرئيسي
شارك

كوريا الشمالية تستغل أدوات المطورين لنشر برامج ضارة معقدة

فريق جلتشمنذ 4 ساعات0 مشاهدة5 دقائق
شارك
كوريا الشمالية تستغل أدوات المطورين لنشر برامج ضارة معقدة

قراصنة كوريا الشمالية يستغلون أدوات المطورين مثل VS Code ومستودعات GitHub لنشر برامج ضارة معقدة. تستهدف الحملات المنظمات والمطورين لسرقة بيانات الاعتماد والعملات المشفرة، مما يشكل تهديداً خطيراً لسلسلة توريد البرمجيات.

مقدمة تحليلية

كشفت تقارير حديثة لشركة Proofpoint عن حملتين سيبرانيتين خبيثتين، codenamed UNK_DeadDrop، تُظهِران تشابهات مقلقة مع مجموعة التهديد الكورية الشمالية المعروفة باسم Contagious Interview. تستهدف هذه الحملات، التي تتخفى وراء عروض التوظيف أو مراجعات الكود، ما يقرب من 100 منظمة عبر قطاعات حيوية مثل المالية، العملات المشفرة، التعليم، والتكنولوجيا. السمة الأبرز لهذه الهجمات هي استغلال أدوات التطوير الشائعة، تحديدًا Microsoft Visual Studio Code (VS Code)، لتحويلها إلى قنوات فعّالة لتوصيل البرامج الضارة.

هذه الاستراتيجية الجديدة تشير إلى نضوج وتطور في تكتيكات المجموعات المدعومة من كوريا الشمالية، حيث لم تعد تعتمد على الهندسة الاجتماعية المباشرة عبر منصات التواصل الاجتماعي فحسب، بل توسعت لتشمل حملات تصيد احتيالي واسعة النطاق تستخدم مستودعات GitHub خبيثة. الهدف النهائي واضح: سرقة بيانات الاعتماد، المعلومات الحساسة، ومحافظ العملات المشفرة من المطورين الذين يتم خداعهم لفتح مشاريع مصابة في بيئات التطوير الخاصة بهم، مما يخلق تهديدًا مستمرًا وشديد التعقيد لسلسلة التوريد البرمجية.

التحليل التقني

يكمن جوهر الهجمات في استغلال تقنية 'runOn: folderOpen' ضمن مشاريع Microsoft Visual Studio Code، والتي تمكن من تنفيذ التعليمات البرمجية الخبيثة تلقائيًا بمجرد فتح محرر الكود دون أي تفاعل من المستخدم. هذه التقنية، التي تبنتها مجموعة Contagious Interview منذ ديسمبر 2025، تشكل نقطة ضعف حرجة في بيئات التطوير.

تتبع سلسلة الإصابة النمط التالي:

  • الوصول الأولي: رسائل بريد إلكتروني تحتوي على روابط لمستودعات GitHub يتحكم فيها المهاجمون، تتظاهر بأنها مهام تقنية أو مشاريع عملات مشفرة.
  • التنفيذ الأولي: عند استنساخ المستودع وفتحه في VS Code أو Cursor، يتم تشغيل سكريبتات تحميل خاصة بنظام التشغيل.
    • لنظامي macOS و Linux: سكريبت shell.
    • لنظام Windows: سكريبت VBScript.
  • تثبيت الحمولة: تقوم هذه السكريبتات بتثبيت ملحق VS Code خبيث (VSIX) يتخفى كخدمة Google شرعية.
  • البرمجيات الخبيثة الرئيسية:
    • لأنظمة Linux و macOS: نسخة مخصصة من إطار عمل Overlord مفتوح المصدر (Go framework)، قادرة على سرقة البيانات ومطالبة المستخدمين بكلمات مرور النظام عبر نوافذ منبثقة أمنية وهمية.
    • لنظام Windows: يعتمد على حمولة VBScript لتشغيل ملف CMD يقوم بعد ذلك بتثبيت الامتداد.
  • الاتصال بالقيادة والتحكم (C2): تتصل البرمجيات الخبيثة بخادم خارجي (مثل '23.137.105[.]75:5173') لتسهيل تنفيذ الأوامر عن بعد، استكشاف النظام، وسحب البيانات.
  • البيانات المستهدفة: بيانات اعتماد، امتدادات محفظة المتصفح، وتطبيقات المحفظة لسطح المكتب.

بالإضافة إلى ذلك، كشفت Yeeth Security عن ثلاثة امتدادات VS Code خبيثة على المتجر الرسمي - "ByteBinTools.jupyter-powerdev-2026.6.8.vsix"، "ToolCraft.jupyter-powertools-3.21.0.vsix"، و "OLDev.markdown-mode-devtools-2.1.0.vsix" - تعمل كـ 'backdoor' متعدد المراحل وتستهدف تجاوز دفاعات نقطة النهاية. تدعم هذه البرمجيات الخبيثة قنوات C2 عبر موقع SharePoint وتستخدم واجهة Microsoft Graph API، مما يسمح بعمليات قراءة وكتابة واستخراج الملفات عشوائيًا، بالإضافة إلى تنفيذ التعليمات البرمجية.

تتزامن هذه النتائج مع اكتشاف العديد من الحملات الأخرى المرتبطة بكوريا الشمالية في الأشهر الأخيرة، والتي تضمنت هجمات سلسلة التوريد عبر حزم npm ضارة، واستغلال ملفات مهام VS Code (TaskJacker)، واستخدام Git hooks، واستهداف مطوري PHP عبر حزم Packagist المخترقة. كما لوحظت جهود مكثفة لاستهداف بيئات macOS ببرمجيات سرقة المعلومات مثل Cabbage RAT و Mach-O Man، واستغلال الذكاء الاصطناعي في تطوير أدوات الهجوم والهندسة الاجتماعية، مما يعكس تحولًا نحو استهداف سلسلة التوريد البرمجية وبيئات التطوير لزيادة نطاق وفعالية هجماتهم.

السياق وتأثير السوق

تعتبر حملة UNK_DeadDrop امتدادًا لتكتيكات مجموعات التهديد الكورية الشمالية الراسخة مثل Contagious Interview (المعروفة أيضًا باسم Famous Chollima و HexagonalRodent و Void Dokkaebi). على الرغم من أن Proofpoint صنفت UNK_DeadDrop ككيان منفصل بسبب اختلافات في أساليب الوصول الأولية (البريد الإلكتروني بدلاً من LinkedIn) واستخدام إطار عمل Overlord بدلاً من عائلات البرمجيات الخبيثة المخصصة تقليديًا (مثل BeaverTail و InvisibleFerret و OtterCookie)، إلا أن الصلات الأعمق تشير إلى استراتيجية متكاملة. على سبيل المثال، لاحظت Yeeth Security أن تقسيم أدوات المطورين بين JavaScript و Python يذكر بحملة Contagious Interview، وأن آلية المصادقة عبر Microsoft Graph API تشارك بعض أوجه التشابه مع هجمات Dream Job التابعة لمجموعة Lazarus Group في عام 2025.

تستهدف هذه الحملات بوضوح القطاعات الحيوية بما في ذلك المالية، العملات المشفرة، التعليم، والتكنولوجيا، مع تركيز كبير على المنظمات في الولايات المتحدة (أكثر من 75%)، تليها المملكة المتحدة وأستراليا. هذا التركيز الجغرافي والقطاعي يؤكد الطبيعة الاستراتيجية لهذه الهجمات.

الدافع وراء هذه الأنشطة هو مالي بحت، مع تقارير عن سرقة 12 مليون دولار من العملات المشفرة في الأشهر الثلاثة الأولى من عام 2026 وحدها، من 26,584 محفظة عملات مشفرة تابعة لـ 2,726 مطورًا مصابًا. تفسر Expel هذا الدافع الفريد لكوريا الشمالية بالقول إن العقوبات الاقتصادية الشديدة المفروضة على البلاد تقلل من أي رادع محتمل، حيث إن الخسارة المالية من العقوبات الإضافية لن تتجاوز المكاسب المالية المحققة. هذا الوضع الاقتصادي يجعل الجرائم السيبرانية ذات الدوافع المالية وسيلة حيوية لتمويل عمليات الدولة، مما يدفع إلى 'تصنيع' الهجمات وتوسيع نطاقها.

رؤية Glitch4Techs

من منظور Glitch4Techs، تُظهر حملات كوريا الشمالية الأخيرة تحولًا مقلقًا نحو 'تصنيع' الهجمات السيبرانية. لم تعد هذه العمليات مجرد محاولات فردية، بل أصبحت حملات واسعة النطاق تستهدف البنية التحتية لعمليات تطوير البرمجيات. إن استغلال أدوات المطورين الشائعة مثل VS Code ومستودعات GitHub، إلى جانب حزم npm وGit hooks، يمثل تكتيكًا خبيثًا بشكل خاص لأنه يستهدف قلب عملية إنشاء البرمجيات. هذا يعني أن كل مطور، وكل مشروع مفتوح المصدر، يصبح نقطة ضعف محتملة يمكن للمهاجمين استغلالها.

يكمن التحدي الأمني الأكبر في أن هذه الهجمات تتخفى ببراعة داخل سير العمل الطبيعي للمطورين. فعندما تُطلب من المطورين استنساخ مستودع أو مراجعة كود، أو حتى تثبيت ملحق 'إنتاجي' من سوق رسمي، يصبح من الصعب للغاية التمييز بين النشاط الشرعي والتهديد الخبيث. إن استخدام الذكاء الاصطناعي في تطوير برامج التحميل وعمليات الهندسة الاجتماعية يزيد من هذه الصعوبة، حيث يسمح للمهاجمين بإنشاء محتوى أكثر إقناعًا وقابلية للتطوير.

نتوقع أن تستمر هذه المجموعات في تطوير تكتيكاتها، مع التركيز على:

  • توسيع نطاق الاستهداف: ليس فقط مطوري العملات المشفرة، بل أي مطور يعمل في قطاعات ذات قيمة عالية.
  • زيادة التعقيد في التخفي: استخدام تقنيات أكثر تطوراً للاندماج مع بيئات التطوير الحالية وتجنب الكشف.
  • الاعتماد المتزايد على الذكاء الاصطناعي: لإنشاء أدوات هجومية، وتحسين الهندسة الاجتماعية، وحتى لأتمتة أجزاء من دورة الهجوم.
  • استغلال الثغرات في سلاسل التوريد: سيتم التركيز بشكل أكبر على استغلال الثقة في مكتبات الطرف الثالث والمستودعات مفتوحة المصدر.

هذه النماذج الهجومية تتطلب من المجتمعات التقنية والمؤسسات تبني نهج دفاعي متعدد الطبقات، يتجاوز مجرد الكشف عن التوقيعات. يجب التركيز على التعليم المستمر للمطورين، مراجعات الكود الصارمة، الفحص الأمني للأدوات والإضافات، واعتماد حلول أمان سلسة التوريد (Software Supply Chain Security) التي يمكنها مراقبة وتأمين كل مرحلة من مراحل تطوير البرمجيات. إن العواقب المالية الكبيرة، بالإضافة إلى التداعيات المحتملة على الابتكار والثقة في المجتمع مفتوح المصدر، تجعل هذه التهديدات تحديًا ذا أولوية قصوى يتطلب استجابة جماعية وحازمة.

أعجبك المقال؟ شاركه

النشرة البريدية

كن أول من يعرف بمستقبل التقنية

أهم الأخبار والتحليلات التقنية مباشرة في بريدك.