تطور التكتيك: خدمات تخزين JSON كنقطة انطلاق خبيثة
كشف باحثون أمنيون في شركة NVISO أن قراصنة كوريا الشمالية وراء حملة “Contagious Interview” قد لجأوا مؤخراً إلى استخدام خدمات تخزين JSON مثل JSON Keeper وJSONsilo وnpoint.io لاستضافة وتوصيل البرمجيات الخبيثة. يعتمد هذا الأسلوب على إنشاء مشاريع برمجية مزورة تحتوي على شفرات خبيثة مخبأة بعناية. يتم تقديم هذه المشاريع للضحايا المحتملين عبر منصات الشبكات المهنية مثل لينكدإن، إما تحت ذريعة إجراء تقييم وظيفي أو التعاون على مشروع مشترك.
آلية الهجوم: من التواصل إلى الاختراق
تبدأ العملية بقيام القراصنة بالتواصل مع أهدافهم – وغالباً ما يكونون مطورين برمجيات – عبر منصات التوظيف والشبكات المهنية. بعد كسب ثقة الضحايا، يتم توجيههم لتحميل مشروع تجريبي من مواقع مثل GitHub أو GitLab أو Bitbucket. داخل هذه المشاريع، يخفي المهاجمون رابطاً خبيثاً في ملفات الإعدادات، حيث يتم ترميز عنوان URL لخدمة تخزين JSON في هيئة مفتاح API مزيف. هذا الرابط يؤدي في النهاية إلى تحميل البرمجيات الخبيثة.
بيفر تيل وإنفزيبل فيريت: ثنائي التخريب الرقمي
الحمولة الخبيثة الرئيسية في هذا الهجوم هي برمجية خبيثة تعرف باسم “BeaverTail” المصممة بلغة JavaScript. تتميز هذه البرمجية بقدرتها على جمع البيانات الحساسة من الأجهزة المصابة، كما تقوم بتحميل برنامج خلفي خطير مكتوب بلغة Python يسمى “InvisibleFerret”. هذا البرنامج الخلفي يحافظ على وصول القراصنة إلى النظام المصاب، ويتميز بتطوره حيث يقوم بتحميل حمولة إضافية تسمى “TsunamiKit” من منصة Pastebin.
شبكة أوسع وأهداف أكثر تنوعاً
يظهر تحليل الحملة أن القراصنة لا يقتصرون على برمجية خبيثة واحدة، بل يستخدمون مجموعة متكاملة من الأدوات التخريبية تشمل أيضاً Tropidoor وAkdoorTea. هذه الأدوات مجتمعة قادرة على جمع بصمة النظام، واختراق البيانات، وتحميل المزيد من البرمجيات الخبيثة. ما يثير القلق هو استخدام القراصنة لمواقع شرعية مثل خدمات JSON ومستودعات الكود البرمجي، مما يمكنهم من التخفي ضمن حركة المرور العادية على الإنترنت وتجنب الكشف.
