كشف باحثون في الأمن السيبراني عن حملة جديدة تستهدف مطوري البرمجيات عبر حزم npm وGo مخترقة، صُممت لنشر برمجية خبيثة مكتوبة بلغة بايثون تعمل على سرقة المعلومات من أنظمة ويندوز ولينكس وماك أو إس. الهجوم يعتمد على آلية غير تقليدية، حيث يتجنب المسارات المعتادة لتنفيذ التعليمات في npm، ويخفي التنفيذ داخل مهمة مهيأة في Visual Studio Code (VS Code) لتعمل تلقائيًا عند فتح مجلد المشروع.
آلية الهجوم: مهمة مخفية وملف خط مزيف
أوضحت شركة JFrog أن نقطة البداية للهجوم هي مهمة مخفية باسم “eslint-check” ضمن إعدادات VS Code، مهيأة بخيار “runOn: folderOpen”، ما يسمح بتنفيذ تعليمات برمجية ضارة بمجرد فتح المجلد كمساحة عمل موثوقة. البرمجية تتنكر في صورة ملف خط (woff2) داخل مجلد “public/fonts”، لكنه في الحقيقة يحتوي على شيفرة JavaScript مشفرة تُستخرج من بيانات معاملات بلوك تشين، ثم تتصل ببنية تحت سيطرة المهاجمين، لتطلق بابًا خلفيًا عبر Socket.io، قبل أن تُحمّل لاحقًا برمجية بايثون لسرقة البيانات.
حملة “Fake Font” المرتبطة بكوريا الشمالية
أشارت فرق متابعة البرمجيات الخبيثة إلى أن هذا الأسلوب يُعرف باسم Fake Font، وهو امتداد لحملة طويلة الأمد تُسمى Contagious Interview بدأت عام 2023، استهدفت مطورين عبر مقابلات عمل وهمية. البرمجية الخبيثة متعددة المراحل تنتهي بنشر باب خلفي يُعرف باسم InvisibleFerret، قادر على سرقة محافظ العملات الرقمية وبيانات المتصفحات وكلمات المرور، إضافة إلى إنشاء وصول دائم للجهاز المصاب. الاعتماد على البلوك تشين كآلية “dead drop” لجلب الحمولة التالية يجعل الهجوم أكثر مقاومة لمحاولات الإزالة، حيث يستخدم شبكات مثل TronGrid وAptos كآليات بديلة.
قدرات واسعة لسرقة البيانات
تتضمن سلسلة العدوى مكونات متعددة:
- باب خلفي عبر Socket.io يمنح المهاجم تحكمًا مباشرًا في الجهاز، بما في ذلك تنفيذ الأوامر وإدارة الملفات والعمليات.
- محمل بايثون يجلب برمجية سرقة بيانات واسعة النطاق، تستهدف متصفحات Chromium وFirefox، ومديري كلمات المرور، والمصادقين، ومحافظ العملات الرقمية.
- القدرة على جمع بيانات المطورين مثل بيانات Git، سجلات GitHub Desktop، إعدادات VS Code، ومخازن الأنظمة مثل Windows Credential Manager وLinux Secret Service وmacOS Keychain.
- الوصول إلى بيانات التخزين السحابي في خدمات مثل Dropbox وGoogle Drive وOneDrive وiCloud وBox وMega وpCloud.
في المرحلة النهائية، تُضغط البيانات المسروقة في ملفات ZIP وترسل إلى خادم التحكم والسيطرة (C2)، أو إلى بوت على Telegram إذا توفر رمز تشغيل أثناء التنفيذ.
استهداف حزم Go وتوصيات أمنية
إلى جانب حزم npm، اكتشفت شركة Nextron Systems مجموعة من 16 حزمة Go مخترقة، تضمنت نفس البرمجية الخبيثة، مثل:
- github.com/lambda-platform/lambda
- github.com/reauheau/goaubio
- github.com/glacialspring/go-winsparkle
- github.com/dexbotsdev/uniswap-v2-v3-arbitrage
- github.com/Barsu5489/commerce
- github.com/Setsu548/Logistic
معظم هذه الحزم كانت مشروعات شرعية أُضيفت إليها البرمجية الخبيثة في آخر إصدار. وينصح الخبراء المطورين الذين قاموا بتثبيت هذه الحزم بإزالتها فورًا، وفحص أجهزة التطوير بحثًا عن مهام مخفية في VS Code، وتغيير جميع بيانات الاعتماد والرموز ومفاتيح واجهات البرمجة والتخزين السحابي، إضافة إلى محافظ العملات الرقمية.






























