يواصل القراصنة الكوريون الشماليون، الذين يقفون وراء حملة “مقابلة العدوى” (Contagious Interview)، توسّعهم في بيئة npm من خلال نشر حزم خبيثة جديدة تقوم بتوزيع برمجية BeaverTail الضارة، إلى جانب محمّل جديد للتحكم عن بُعد (RAT Loader).
ووفقًا للباحث الأمني في شركة Socket، كيريل بويتشينكو، فإن “العينات الأخيرة تستخدم ترميز السلاسل الست عشرية (hex) لتجنب أنظمة الكشف التلقائي وعمليات تدقيق الكود اليدوية، مما يشير إلى تطوّر في تقنيات التمويه المستخدمة من قبل الجهات المهاجمة.”
أسماء الحزم الضارة التي تم تحميلها أكثر من 5600 مرة قبل إزالتها:
-
empty-array-validator
-
twitterapis
-
dev-debugger-vite
-
snore-log
-
core-pino
-
events-utils
-
icloud-cod
-
cln-logger
-
node-clog
-
consolidate-log
-
consolidate-logger
حملة قرصنة تستهدف مطوري البرمجيات
تم رصد هذه الحزم الجديدة بعد أسابيع قليلة من اكتشاف مجموعة أخرى تحتوي على برمجية BeaverTail – أداة لسرقة بيانات JavaScript، قادرة أيضًا على تنزيل باب خلفي يعمل بلغة Python باسم InvisibleFerret.
الهدف الرئيسي من الحملة هو اختراق أنظمة المطورين تحت غطاء عمليات التوظيف والمقابلات، وسرقة البيانات الحساسة، وتحويل الأصول المالية، والحفاظ على الوصول المستمر إلى الأنظمة المصابة.
أساليب جديدة وأسماء مزيفة
تتنكر الحزم الجديدة على أنها أدوات تصحيح أو مساعدات للمطورين، مثل dev-debugger-vite، التي استخدمت عنوان تحكم وسيطرة (C2) سبق أن تم ربطه بمجموعة Lazarus ضمن حملة Phantom Circuit التي تم الكشف عنها في ديسمبر 2024.
بعض الحزم مثل events-utils وicloud-cod تم ربطها بمستودعات Bitbucket بدلاً من GitHub، وتم العثور على الحزمة icloud-cod ضمن مجلد يحمل اسم “eiwork_hire”، مما يشير إلى أن المهاجمين ما زالوا يستخدمون موضوع “المقابلات الوظيفية” كغطاء لنشر البرمجيات الخبيثة.
تغييرات طفيفة، خطر كبير
التحقيق في الحزم cln-logger وnode-clog وconsolidate-log وconsolidate-logger كشف عن تغييرات بسيطة على مستوى الكود، مما يدل على أن المهاجمين ينشرون نسخًا متعددة من البرمجية الخبيثة بهدف زيادة نسبة النجاح.
رغم هذه التغييرات، فإن جميع الحزم تتضمن كودًا خبيثًا يعمل كمحمّل لأدوات التحكم عن بعد (RAT)، قادر على تحميل حمولات إضافية من خوادم خارجية.
قال بويتشينكو:
“الكود يعمل كمحمّل نشط للبرمجيات الخبيثة بقدرات RAT، ويستخدم لتنفيذ JavaScript عن بُعد، مما يتيح للمهاجمين الكوريين الشماليين تنفيذ أي تعليمات على الأنظمة المصابة.”
حملة توظيف وهمية تنشر بابًا خلفيًا جديدًا باسم Tropidoor
بالتزامن مع اكتشاف حزم npm الجديدة، كشفت شركة AhnLab الكورية الجنوبية عن حملة تصيّد إلكتروني توظيفية تستهدف المطورين المحليين، حيث تستخدم برمجية BeaverTail لتثبيت باب خلفي جديد لم يُوثق سابقًا، يحمل اسم Tropidoor.
الرسالة الاحتيالية تدّعي أنها من شركة تدعى AutoSquare، وتحتوي على رابط لمشروع مستضاف على Bitbucket، يطلب من المستلم تحميله محليًا ومراجعته.
يتضمن المشروع ملف npm يحتوي على BeaverTail في ملف “tailwind.config.js”، بالإضافة إلى ملف DLL ضار يُدعى “car.dll”، يتم تنفيذه بواسطة البرمجية الخبيثة.
قدرات باب خلفي متقدم
يعمل Tropidoor داخل الذاكرة، ويتصل بخادم C2 لتلقي أوامر، مثل:
-
سرقة الملفات
-
جمع معلومات عن الأقراص
-
التقاط لقطات شاشة
-
تشغيل وإيقاف العمليات
-
حذف الملفات أو استبدال محتواها ببيانات فارغة أو عشوائية
