حملة “المقابلات المعدية” من كوريا الشمالية تستخدم ClickFix لنشر برمجيات npm خبيثة وتوظيف احتيالي عالمي

حملة "المقابلات المعدية" من كوريا الشمالية تستخدم ClickFix لنشر برمجيات npm خبيثة وتوظيف احتيالي عالمي
حملة "المقابلات المعدية" من كوريا الشمالية تستخدم ClickFix لنشر برمجيات npm خبيثة وتوظيف احتيالي عالمي
شارك هذا الخبر

كشفت تقارير أمنية حديثة أن جهات التهديد السيبراني التابعة لكوريا الشمالية والتي تقف خلف حملة “Contagious Interview” (المقابلات المعدية) قد تبنّت مؤخرًا تكتيك ClickFix الشهير في الهندسة الاجتماعية، بهدف نشر برمجية خلفية خبيثة غير موثقة سابقًا تُعرف باسم GolangGhost.

 البرمجيات الخبيثة عبر مكتبات npm

إلى جانب ذلك، قامت نفس الجهات بنشر 11 حزمة npm خبيثة، قامت بتوزيع برمجية سرقة المعلومات BeaverTail، بالإضافة إلى أداة تحميل لفيروسات الوصول عن بُعد (RAT Loader). وقد تم تحميل هذه الحزم أكثر من 5,600 مرة قبل أن يتم اكتشافها وإزالتها.

هذه الحزم كانت مموّهة بشكل يبدو وكأنها مكتبات JavaScript شرعية تُستخدم في تطوير البرمجيات مفتوحة المصدر، وهو ما يُعد جزءًا من هجوم على سلسلة التوريد البرمجية (Software Supply Chain Attack). وهذا النوع من الهجمات يتصاعد بشكل ملحوظ في السنوات الأخيرة، مستهدفًا المطورين والأنظمة المستخدمة على نطاق واسع.

 خلفية حملة “المقابلات المعدية”

تعتمد هذه الحملة على استغلال منصات التوظيف والعمل الحر مثل LinkedIn وUpwork، حيث يقدم عملاء كوريا الشمالية أنفسهم على أنهم مطورون محترفون يبحثون عن فرص عمل في شركات تكنولوجيا مرموقة، خاصةً تلك العاملة في أوروبا والولايات المتحدة.

ووفقًا لتقارير باحثي Google، يلجأ هؤلاء العملاء إلى:

  • تقديم مراجع مزيفة لدعم سيرهم الذاتية.

  • بناء علاقات مصطنعة مع مسؤولي التوظيف لكسب الثقة.

  • استخدام شخصيات متعددة خاضعة لسيطرتهم للتوصية ببعضهم البعض وكسب المصداقية.

ولم تتوقف ممارساتهم عند هذا الحد، بل أصبحوا مؤخرًا يبتزّون الشركات التي توظفهم عن طريق المطالبة بالمال بعد اكتشافهم أو فصلهم من العمل، مما يرفع خطورة هؤلاء “الموظفين المزيفين” ويحوّلهم إلى تهديد داخلي حقيقي.

 التهديد الداخلي الكوري الشمالي عالميًا

ورغم أن السلطات الأمريكية بذلت جهودًا كبيرة في السنوات الأخيرة لكشف هذه المخططات، إلا أن التركيز المتزايد من الولايات المتحدة على التهديدات الداخلية المدعومة من كوريا الشمالية دفع المهاجمين إلى توسيع نشاطهم خارج أميركا، مع التركيز على أوروبا وآسيا.

وتتضمن جهود الحكومة الأمريكية:

  • نشر التوعية حول التهديد الداخلي المدعوم من دول.

  • معاقبة الوسطاء المحليين الذين يسهلون هذا النشاط.

  • فضح الشركات الواجهة التي تخفي هوية هؤلاء العملاء.

  • مساعدة المؤسسات على اكتشاف الخطر مبكرًا.

ولكن مع ازدياد هذه الحملات، اتجه المهاجمون إلى تكتيكات أكثر عدوانية، تشمل استخدام برمجيات خبيثة، وهندسة اجتماعية متقدمة، وهجمات على سلاسل الإمداد البرمجية.

 تحذير

تُظهر هذه الحملة تصعيدًا خطيرًا في قدرات التهديد السيبراني لكوريا الشمالية، إذ أصبحت تهديداتها تتجاوز الهجمات التقنية إلى استغلال الثقة البشرية والتلاعب بأنظمة التوظيف العالمية.

على المؤسسات أن:

  • تراجع بعناية بيانات المتقدمين للوظائف، خاصة في مجالات البرمجة والأمن السيبراني.

  • تتحقق من خلفياتهم عبر مصادر موثوقة، لا سيما عند التوظيف عن بُعد.

  • تراقب أنشطتهم داخل بيئة العمل بحذر، خاصةً في الوصول إلى الشيفرات البرمجية الحساسة.

وسوم
محمد وهبى
محمد وهبى
المقالات: 149

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة