كشف باحثون في مجال الأمن السيبراني عن دفعة جديدة من الحزم الخبيثة على منصة npm ترتبط بعملية تجسس مستمرة تُعرف باسم “المقابلة المعدية” (Contagious Interview) ويُعتقد أن مصدرها كوريا الشمالية.
ووفقًا لشركة Socket، فإن الهجوم يستهدف سلسلة توريد البرامج ويشمل 35 حزمة npm خبيثة تم رفعها عبر 24 حسابًا مختلفًا على npm، وقد تم تحميل هذه الحزم أكثر من 4,000 مرة حتى الآن.
وحتى وقت نشر التقرير، لا تزال 6 من هذه الحزم متاحة للتنزيل على npm، ما يعكس استمرار النشاط الضار.
كيف يعمل الهجوم؟
تحتوي كل من هذه الحزم على محمل مشفر يُعرف باسم “HexEval”، والذي يقوم بجمع معلومات من الجهاز المصاب فور التثبيت، ثم يُسلم حمولة ثانوية خبيثة تُعرف باسم BeaverTail، وهي أداة مكتوبة بجافاسكربت تُستخدم لسرقة البيانات.
بدورها تقوم BeaverTail بتنزيل باب خلفي مكتوب بلغة بايثون يُدعى “InvisibleFerret”، والذي يُمكّن المهاجمين من التحكم عن بُعد بالجهاز وجمع معلومات حساسة.
وقال الباحث “كيريل بويتشينكو” من Socket:
“هذا الهيكل المتعدد المراحل يشبه دُمية الماتريوشكا، ويساعد في التهرب من أدوات الفحص الساكن التقليدية والمراجعات اليدوية.”
كما لاحظ الباحثون أن أحد حسابات npm الخبيثة قام بنشر حزمة keylogger عبر الأنظمة تلتقط كل ضغطة زر، ما يدل على جهوزية الجهات المهاجمة لتخصيص أدوات مراقبة متقدمة حسب طبيعة الهدف.
خلفية العملية
تم توثيق حملة “المقابلة المعدية” لأول مرة في أواخر 2023 بواسطة وحدة Unit 42 من Palo Alto Networks. وتُعتبر جزءًا من نشاط مجموعة تهديدات مدعومة من الدولة الكورية الشمالية، تسعى إلى اختراق أنظمة المطورين بهدف سرقة العملات الرقمية والبيانات.
تندرج هذه المجموعة تحت عدة مسميات أخرى مثل:
CL-STA-0240، DeceptiveDevelopment، DEV#POPPER، Famous Chollima، Gwisin Gang، Tenacious Pungsan، UNC5342، وVoid Dokkaebi.
وتشير التقارير الأحدث إلى أن المجموعة تستخدم أيضًا أساليب الهندسة الاجتماعية الجديدة مثل ClickFix لنشر برمجيات خبيثة مثل GolangGhost وPylangGhost، في حملة فرعية تُعرف باسم “ClickFake Interview”.
أسلوب الاستهداف
عادةً ما يتظاهر المهاجمون بأنهم مجنّدون على منصة LinkedIn، ويتواصلون مع المطورين الباحثين عن وظائف، ويرسلون إليهم روابط لمشاريع خبيثة على GitHub أو Bitbucket تحتوي على حزم npm المصابة.
وأضاف بويتشينكو:
“يستهدفون مهندسي البرمجيات الباحثين عن فرص عمل، مستغلين ثقتهم في المجندين لإيصال البرمجيات الخبيثة.”
وغالبًا ما يُطلب من الضحايا استنساخ المشروع وتشغيله خارج بيئات العزل (Containerization) كجزء من “مقابلة التوظيف”.
تحذير وتحليل
قالت Socket إن هذه الحملة تُظهر تطورًا كبيرًا في هجمات سلسلة التوريد القادمة من كوريا الشمالية، حيث يتم استخدام استهداف يعتمد على OSINT (استخبارات المصادر المفتوحة) وهندسة اجتماعية دقيقة.
كما أن استخدام أدوات مثل HexEval في مكتبات مفتوحة المصدر يسمح للمهاجمين بتجاوز أنظمة الحماية التقليدية، والحصول على تنفيذ مباشر للبرمجيات الخبيثة على أجهزة المطوري.
