كشفت تقارير أمنية أن مجموعة Lazarus المرتبطة بكوريا الشمالية أطلقت حملة جديدة تستهدف مطوري البرمجيات عبر منصات مثل LinkedIn وFacebook ومنتديات مثل Reddit. الحملة، التي تحمل الاسم الرمزي graphalgo، بدأت منذ مايو 2025، وتقوم بإنشاء شركات وهمية مثل Veltrix Capital في مجال العملات المشفرة لتضليل المرشحين وإقناعهم بتنفيذ مشاريع تحتوي على تبعيات خبيثة من مستودعات npm وPyPI.
الحزم الخبيثة المكتشفة
من أبرز الحزم التي تم رصدها:
- على npm: graphalgo، graphkitx، graphchain، bigmathutils، وغيرها.
- على PyPI: graphex، graphlibx، bigpyx، bigmathutils، وغيرها.
إحدى الحزم، bigmathutils، جذبت أكثر من 10,000 تحميل قبل أن يتم إدخال الحمولة الخبيثة في الإصدار الثاني، ما يبرز خطورة استغلال الثقة في الحزم مفتوحة المصدر.
قدرات البرمجيات الخبيثة
الحزم تعمل كقنوات لنشر Remote Access Trojan (RAT) قادر على:
- جمع معلومات النظام.
- استعراض الملفات والعمليات.
- تنفيذ أوامر شل.
- رفع وتنزيل الملفات.
- التحقق من وجود إضافات مثل MetaMask لسرقة بيانات المحافظ الرقمية.
الاتصال بخوادم التحكم والسيطرة (C2) يتم عبر آلية token-based لضمان قبول الطلبات فقط من الأجهزة المسجلة مسبقاً، وهي تقنية سبق استخدامها في حملات مرتبطة بمجموعة Jade Sleet (TraderTraitor/UNC4899).
حملات npm إضافية
إلى جانب حملة Lazarus، اكتشفت شركة JFrog حزمة خبيثة باسم duer-js تحتوي على أداة سرقة معلومات Bada Stealer، قادرة على جمع بيانات من متصفحات مثل Chrome وEdge وBrave، بالإضافة إلى سرقة رموز Discord ومحافظ العملات المشفرة.
كما تم رصد حملة أخرى باسم XPACK ATTACK تستغل أمر npm install لابتزاز المطورين عبر فرض “جدار دفع” مزيف باستخدام رمز HTTP 402، مطالبةً بتحويل 0.1 USDC/ETH مقابل إتمام التثبيت.
دلالات الحملة
بحسب ReversingLabs، فإن هذه الأنشطة تعكس حملة معقدة وطويلة الأمد، تتميز بالصبر في بناء الثقة، وبنية برمجية متعددة الطبقات، وتشفير متقدم، ما يؤكد أنها من عمل جهة مدعومة من دولة. الهدف النهائي هو سرقة بيانات حساسة وتنفيذ عمليات مالية غير مشروعة عبر استغلال ثقة المطورين في بيئات مفتوحة المصدر.
