حملة “Contagious Interview”: 1700 حزمة خبيثة منشورة عبر npm وPyPI وGo وRust

كشفت تقارير أمنية أن حملة سيبرانية مرتبطة بكوريا الشمالية، تُعرف باسم Contagious Interview، وسّعت نطاقها عبر نشر أكثر من 1700 حزمة خبيثة في أنظمة إدارة الحزم مفتوحة المصدر مثل npm وPyPI وGo وRust وPHP. هذه الحزم صُممت لتبدو كأدوات تطوير شرعية، لكنها في الواقع تعمل كـ محملات برمجيات خبيثة (malware loaders) ضمن عملية منظمة لاختراق سلاسل التوريد البرمجية.

طبيعة الحزم الخبيثة

• npm: dev-log-core, logger-base, logkitx, pino-debugger, debug-fmt, debug-glitz
• PyPI: logutilkit, apachelicense, fluxhttp, license-utils-kit
• Go: github[.]com/golangorg/formstash, github[.]com/aokisasakidev/mit-license-pkg
• Rust: logtrace
• Packagist (PHP): golangorg/logkit

هذه الحزم تحتوي على تعليمات خبيثة مدمجة داخل وظائف تبدو طبيعية، مثل إخفاء الكود داخل دوال تسجيل الأخطاء، مما يجعل اكتشافها صعبًا على المطورين.

قدرات البرمجيات الخبيثة

الحمولات الثانية التي يتم جلبها عبر هذه الحزم تشمل:

• Infostealer: سرقة بيانات من المتصفحات، مديري كلمات المرور، ومحافظ العملات الرقمية.
• Remote Access Trojan (RAT): تمكين المهاجمين من التحكم عن بُعد بالجهاز.
• نسخة Windows من الحزمة “license-utils-kit” تضمنت إمكانيات متقدمة مثل:
  • تنفيذ أوامر عبر الـ Shell.
  • تسجيل ضغطات المفاتيح.
  • سرقة بيانات المتصفح.
  • رفع الملفات وتنزيل وحدات إضافية.
  • نشر برنامج AnyDesk للوصول عن بُعد.
  • إنشاء أرشيفات مشفرة لإخفاء البيانات المسروقة.

أسلوب الهجوم

البرمجيات الخبيثة لا تُفعل أثناء تثبيت الحزمة، بل يتم تشغيلها عند استخدام وظائف تبدو طبيعية. على سبيل المثال، في حزمة logtrace، الكود الخبيث، مما يقلل من احتمالية إثارة الشكوك.

السياق الأوسع

هذه الحملة جزء من استراتيجية أكبر لاختراق سلاسل التوريد البرمجية. من أبرز الأمثلة السابقة:

• تسميم حزمة Axios الشهيرة على npm لنشر برمجية WAVESHAPER.V2 بعد اختراق حساب المطور عبر حملة هندسة اجتماعية.
• نشاط مجموعة UNC1069 (المعروفة أيضًا باسم BlueNoroff وSapphire Sleet وStardust Chollima)، التي استخدمت حملات اجتماعية طويلة الأمد عبر Telegram وLinkedIn وSlack لخداع الضحايا بروابط اجتماعات مزيفة على Zoom وMicrosoft Teams.

خطورة الهجمات

ما يميز هذه الحملة هو الجمع بين:

• الانتشار عبر أنظمة متعددة (npm, PyPI, Go, Rust, PHP).
• القدرات المتقدمة بعد الاختراق، مثل التحكم الكامل بالجهاز وسرقة بيانات حساسة.
• الاستهداف المالي والاستخباراتي، حيث يتم ترك البرمجيات خاملة لفترة بعد الاختراق قبل تفعيلها، مما يطيل فترة الاستغلال ويزيد من قيمة البيانات المسروقة.