إصدار OtterCookie v4 يُضيف كشف الأنظمة الافتراضية وسرقة بيانات Chrome وMetaMask

إصدار OtterCookie v4 يُضيف كشف الأنظمة الافتراضية وسرقة بيانات Chrome وMetaMask
إصدار OtterCookie v4 يُضيف كشف الأنظمة الافتراضية وسرقة بيانات Chrome وMetaMask
شارك هذا الخبر

كشفت شركة NTT Security Holdings عن إصدارات جديدة من البرمجية الخبيثة OtterCookie (الإصدارين v3 وv4) والتي تستهدف:
✔ بيانات الاعتماد من متصفحات الويب (خاصة Google Chrome وBrave)
✔ معلومات محافظ العملات المشفرة عبر MetaMask
✔ ملفات حساسة مثل الصور والمستندات وجمل استعادة المحافظ الرقمية

كيف تعمل هذه البرمجية؟

  • تنتشر عبر:
    • حزم npm خبيثة
    • مستودعات GitHub أو Bitbucket مزيفة
    • تطبيقات مؤتمرات فيديو وهمية

  • تتصل بخادم تحكم خارجي لتنفيذ أوامر على الأجهزة المخترقة

ما الجديد في الإصدارات الحديثة؟

OtterCookie v3 (فبراير 2025)

  • أضافت وحدة جديدة لرفع الملفات ذات الامتدادات المستهدفة مثل:
    • متغيرات البيئة (env)
    • الصور والمستندات
    • جمل استعادة المحافظ الرقمية (Recovery Phrases)

OtterCookie v4 (أبريل 2025)

  1. سرقة بيانات المتصفحات:

    • فك تشفير بيانات Google Chrome المسروقة

    • جمع بيانات MetaMask وiCloud Keychain

    • معالجة مختلفة للبيانات تشير إلى تعدد المطورين

  2. كشف البيئات الافتراضية:

    • القدرة على اكتشاف وجودها في أنظمة:
      • VMware (برودكوم)
      • VirtualBox (أوراكل)
      • Hyper-V (مايكروسوفت)
      • QEMU

خلفية الهجوم: حملة “Contagious Interview”

  • تنتمي هذه البرمجية إلى مجموعة WaterPlum الكورية الشمالية (المعروفة أيضًا باسم Lazarus Group)

  • تستخدم في هجمات تجسسية ومالية لتمويل النظام

  • مرتبطة بسرقة مليار دولار من منصة Bybit للعملات المشفرة مطلع 2025

أدوات أخرى في الحملة:

  • برمجية Go الخبيثة: تنتشر عبر تحديثات وهمية لبرنامج Realtek تحت اسم WebCam.zip

  • إطار Tsunami-Framework:
    • يسجل ضربات لوحة المفاتيح
    • يجمع ملفات من الضحايا
    • يحتوي على مكونات بوت نت قيد التطوير

تحذيرات أمنية موسعة

1. تهديد العاملين الكوريين الشماليين الوهميين

  • كشفت Sophos عن تزايد هجمات التوظيف الاحتيالي عبر:
    • تزوير السير الذاتية باستخدام الذكاء الاصطناعي التوليدي
    • تلاعب بالصور (دمج صور حقيقية مع صور مخزنة)
    • أدوات مثل Astrill VPN وKVM over IP لإخفاء النشاط

  • حالة مثيرة:
    حاول مخترق كوري شمالي الانتحال باسم “ستيفن سميث” للتسلل إلى منصة Kraken للعملات المشفرة، لكن كُشف خلال مقابلة عبر Zoom عندما فشل في الإجابة عن أسئلة محلية بسيطة!

2. تحذيرات حكومية

  • حذرت حكومات اليابان وكوريا الجنوبية والولايات المتحدة من:
    • مزارع أجهزة اللاب توب (Laptop Farms) التي يستخدمها هؤلاء المخترقون
    • بقاء العاملين الوهميين داخل الشركات حتى 14 شهرًا قبل الاكتشاف

كيف تحمي مؤسستك؟

✅ فحص جميع التبعيات البرمجية (خاصة حزم npm والمستودعات الخارجية)
✅ تعطيل التثبيت التلقائي لملفات JavaScript غير الموثوقة
✅ مراقبة النشاط غير المعتاد على متصفحات Chrome وBrave
✅ تدقيق عمليات التوظيف عبر:

  • التحقق من الهوية بأسئلة محلية مفاجئة

  • كشف الصور المعدلة بالذكاء الاصطناعي

“هذه التهديدات تطورت لتصبح أكثر تعقيدًا من مجرد برمجيات خبيثة تقليدية” — تقرير NTT الأمني

وسوم
محمد وهبى
محمد وهبى
المقالات: 211

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


انتهت فترة التحقق من reCAPTCHA. يُرجى إعادة تحميل الصفحة.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة