أصدرت مايكروسوفت تقريراً أمنياً يحذر من حملة منسقة تستهدف المطورين عبر مستودعات مزيفة على منصات موثوقة مثل Bitbucket، حيث يتم تقديم مشاريع تحمل أسماء جذابة مثل “Cryptan-Platform-MVP1” على أنها اختبارات وظيفية أو مشاريع تقييم. الهدف هو خداع المطورين لتشغيل هذه المشاريع ضمن سير عملهم اليومي، مما يؤدي إلى تنفيذ شيفرات خبيثة في الذاكرة تمنح المهاجمين وصولاً مستمراً إلى الأجهزة المصابة.
طرق التنفيذ الثلاثة للهجوم
التحليل الأمني كشف عن ثلاث مسارات مختلفة تؤدي جميعها إلى نفس النتيجة: تشغيل شيفرة JavaScript خبيثة في الذاكرة.
- تنفيذ عبر بيئة VS Code: حيث يتم استغلال إعدادات المهام باستخدام خاصية runOn: “folderOpen” لتشغيل الشيفرة بمجرد فتح المشروع.
- تنفيذ أثناء عملية البناء: عبر تعديل مكتبات مثل jquery.min.js لتجلب محمّل خبيث من منصة Vercel عند تشغيل الأمر “npm run dev”.
- تنفيذ عند تشغيل الخادم الخلفي: من خلال تضمين منطق خبيث في ملفات الوحدات الخلفية، يقوم بجمع بيانات البيئة وإرسالها إلى خادم خارجي ثم تشغيل شيفرة إضافية في الذاكرة.
تطور الأساليب وتعدد البنى التحتية
مايكروسوفت أوضحت أن جميع الطرق تؤدي إلى تحميل نفس الحمولة الخبيثة، التي تقوم بتجميع معلومات عن الجهاز، وإنشاء معرف فريد “instanceId”، ثم التواصل مع خوادم التحكم والسيطرة (C2) لتنفيذ أوامر إضافية.
شركات أمنية أخرى مثل Abstract Security و Red Asgard رصدت تطوراً في الأساليب، حيث تم استخدام GitHub gists بدلاً من روابط Vercel، إضافة إلى حزم npm خبيثة مثل “eslint-validator” التي تجلب برمجيات معروفة باسم BeaverTail. كما تم رصد محاولات لاستغلال تقنية البلوك تشين عبر عقود NFT لتخزين شيفرات خبيثة، ما يعكس مستوى عالٍ من الابتكار في إخفاء البنية التحتية للهجوم.
ارتباط الحملة بجهات تهديد كورية شمالية
رغم أن مايكروسوفت لم تحدد جهة بعينها، إلا أن الأساليب المستخدمة تتطابق مع تكتيكات حملات مرتبطة بجهات تهديد كورية شمالية مثل حملة Contagious Interview، التي تستغل مشاريع وهمية مرتبطة بالتوظيف لخداع المطورين. تقارير من GitLab و Okta دعمت هذه الفرضية، مشيرة إلى أن هذه العمليات تعمل كمنظمات منظمة ذات أهداف مالية واضحة، حيث تم رصد مشاريع خاصة تحتوي على سجلات مالية تفصيلية بأرباح تجاوزت 1.64 مليون دولار بين 2022 و2025.
توصيات الحماية للمؤسسات والمطورين
مايكروسوفت شددت على ضرورة تعزيز حدود الثقة في سير عمل المطورين، وتطبيق مبدأ أقل الامتيازات، وضمان فصل بيئات البناء عن بيئات التشغيل، إضافة إلى تدقيق صارم في مصادر المكتبات والمستودعات المفتوحة. كما أوصت بفرض مصادقة قوية، والحفاظ على نظافة بيانات الاعتماد، ومراقبة أي نشاط غير اعتيادي في مشاريع التطوير.
