أفادت أبحاث حديثة من Cisco Talos أن جهة تهديد مرتبطة بحملة “Contagious Interview” الكورية الشمالية شرعت في دمج وظائف اثنين من برمجياتها الخبيثة، BeaverTail وOtterCookie، ما يعكس سعي المجموعة لصقل مجموعة أدواتها وزيادة مرونتها الهجومية. وبرز في النسخ الحديثة تقارب واضح بين قدرات البرنامجين، بينما أضيفت إلى OtterCookie وحدة جديدة لتسجيل الضغطات وأخذ لقطات شاشة. النشاط يُنسب إلى عنقود تهديد يتعقبه مجتمع الأمن السيبراني بأسماء عدة منها Famous Chollima وTenacious Pungsan وVoid Dokkaebi.
تحويل سلاسل البلوكشين إلى بنية C2 ومقاربة هندسة سلسلة الإمداد
كشفت جهات استخباراتية أخرى، من بينها Google Threat Intelligence Group وMandiant، أن الفاعل استعمل تقنية خفية اسمها EtherHiding لجلب حمولات لاحقة من شبكات البلوكشين مثل BNB Smart Chain وEthereum، ما يحوّل البنى اللامركزية إلى خوادم قيادة وتحكم مرنة. وتواصل الحملة استغلال أساليب الهندسة الاجتماعية عبر خداع الباحثين عن وظائف بتقديم اختبارات تقنية ملوّثة؛ الحوادث الأخيرة شملت هدفًا في شركة بسريلانكا لم تُستهدف عمدًا بل أصاب أحد أنظمتها مستخدمٌ وقع ضحية عرض عمل زائف ودُفع لتثبيت تطبيق Node.js مزوّر اسمه Chessfi مستضافًا على Bitbucket.
آليات الاستسقاء البرمجي ووحدات السطو الرقمي
حلّل باحثو Cisco Talos العيّنات ووجدوا أن البرمجية الملوثة تستفيد من تبعيات مشروعة منشورة على npm — مثل حزمة “node-nvm-ssh” التي نُشرت في 20 أغسطس 2025 ثم أُزيلت بعد ستة أيام — واستخدمت آلية postinstall لتشغيل حمولة جافا سكريبت تنتقل عبر ملفات مثل index.js وfile15.js لتنزيل المراحل النهائية. النسخة الجديدة من OtterCookie (v5) تضم الآن وحدات متعدّدة تشمل: تسجيل مفاتيح (keylogging) والتقاط لقطات شاشة ومراقبة الحافظة، وحدة قشرة بعيدة تتصل بخادم C2 عبر socket.io-client، وحدة رفع ملفات تفحص محركات الأقراص بحثًا عن ملفات تتضمن مصطلحات متعلّقة بمحافظ العملات المشفرة ونسخ احتياطية وعبارات استرداد، إضافة إلى وظائف شبيهة بـBeaverTail لتسلسُل ملفات المتصفحات وامتداداتها وسرقة بيانات محفظات التشفير المثبتة على Chrome وBrave، وتثبيت AnyDesk لإتاحة وصول دائم وتنزيل باب خلفي بلغة بايثون يسمى InvisibleFerret.
ملاحظات على التسليم وتهديدات مستقبلية وتوصيات عملية
لاحظ الباحثون أيضًا وجود أثر BeaverTail مبني باستخدام Qt وامتداد خبيث لبيئة Visual Studio Code يضم أكوادًا من BeaverTail وOtterCookie، ما يوحي بأن المهاجم قد يجرب وسائل توصيل جديدة أو أن جهة أخرى تُجرب تكتيكات مماثلة. هذا التطور يضع مزيدًا من الضغط على سلاسل التوريد البرمجية ومخازن الحزم العامة، ويؤكد قدرة الجهات ذات الموارد على تحويل مكتبات شرعية وأدوات تطوير إلى قنوات توصيل للبرمجيات الخبيثة. للتخفيف من المخاطر يوصي الباحثون باتباع ممارسات منها: التحقق من مصادر الحزم وفرض سياسات صارمة لسلاسل التوريد البرمجية، تفعيل تحليل السلوك على نقاط النهاية، مراقبة نشاط تثبيت الحزم والـpostinstall hooks، حظر تثبيت الامتدادات أو الحزم من مصادر غير موثوقة داخل بيئات الإنتاج، وتوعية الموظفين بعمليات التوظيف الاحتيالية التي تطلب تثبيت برمجيات كجزء من “اختبارات فنية”.
