في تصعيد جديد لحملة “المقابلة المعدية” (Contagious Interview)، رصد باحثون أمنيون قيام جهات تهديد مرتبطة بكوريا الشمالية بنشر 67 حزمة خبيثة إضافية على سجل npm، ما يعكس استمرار الجهود الرامية إلى تسميم بيئة البرمجيات مفتوحة المصدر عبر هجمات سلسلة التوريد.
ووفقًا لشركة Socket المتخصصة في الأمن السيبراني، فقد جرى تحميل هذه الحزم أكثر من 17,000 مرة، وتحتوي على نسخة لم يُكشف عنها سابقًا من مُحمّل برمجي يُعرف باسم XORIndex. وتمثل هذه الخطوة امتدادًا لموجة هجمات سابقة في الشهر الماضي شملت توزيع 35 حزمة npm خبيثة تضم محمّلًا آخر يُدعى HexEval.
تطور مستمر في حملة “المقابلة المعدية”
قال الباحث كيريل بويتشينكو من Socket: “تستمر عملية المقابلة المعدية في نمط لعبة القط والفأر، حيث يكشف المدافعون عن الحزم الخبيثة ويبلغون عنها، ليرد القراصنة الكوريون الشماليون سريعًا بنشر نسخ جديدة باستخدام تكتيكات مشابهة أو متطورة قليلًا”.
وتستهدف الحملة، التي يُطلق عليها أيضًا أسماء مثل DeceptiveDevelopment وFamous Chollima وGwisin Gang وUNC5342 وVoid Dokkaebi، خداع المطورين لتشغيل مشاريع مفتوحة المصدر بحجة أنها مهام اختبارية للتوظيف. وتُعد هذه الأنشطة مكمّلة لمخطط كوريا الشمالية المعروف لتوظيف عمالة تقنية عن بُعد، إلا أنها تستهدف مطورين يعملون بالفعل في شركات مستهدفة.
XORIndex وBeaverTail: أدوات خبيثة مخصصة للمطورين
وتُستخدم الحزم الخبيثة كوسيلة لنشر محمّل JavaScript معروف باسم BeaverTail، والذي يُستخدم لاستخراج بيانات من متصفحات الويب ومحافظ العملات الرقمية، إضافة إلى نشر باب خلفي مكتوب بلغة Python يُعرف باسم InvisibleFerret.
وأشار بويتشينكو إلى أن XORIndex وحده جرى تحميله أكثر من 9,000 مرة بين يونيو ويوليو 2025، في حين حافظ HexEval على وتيرته بتجاوز 8,000 عملية تحميل جديدة عبر الحزم المكتشفة مؤخرًا.
وتُظهر التحليلات أن XORIndex، شأنه شأن HexEval، يقوم بجمع معلومات عن الجهاز المُصاب، ويستخدم نقاط نهاية مبرمجة مسبقًا للاتصال ببنية التحكم والسيطرة (C2) بغرض تحديد عنوان IP الخارجي للجهاز، ثم يرسل هذه البيانات إلى خادم بعيد قبل تفعيل BeaverTail.
تطور تقني ملحوظ في الحزم الخبيثة
وكشفت التحليلات الأحدث أن محمّل XORIndex شهد تطورًا تدريجيًا من نموذج بسيط إلى برمجية أكثر خفاءً وتعقيدًا. فقد كانت الإصدارات المبكرة تفتقر إلى تقنيات التمويه والاستطلاع، لكنها حافظت على وظيفتها الأساسية، في حين أدخلت الإصدارات اللاحقة قدرات أولية للاستطلاع على النظام المصاب.
وحذر بويتشينكو من أن “جهات التهديد التابعة لحملة المقابلة المعدية ستواصل تنويع ترسانتها من البرمجيات الخبيثة، بتبديل الأسماء المستعارة لمطوري npm، وإعادة استخدام المحملات مثل HexEval والبرمجيات الخبيثة كـ BeaverTail وInvisibleFerret، مع نشر نسخ جديدة مثل XORIndex”.
تهديدات متزامنة من قراصنة مرتبطين بروسيا
وجاء هذا الكشف بالتزامن مع إعلان شركة Safety عن رصد حزم npm خبيثة نشرها قراصنة مرتبطون بروسيا، تستهدف أنظمة ويندوز عبر تحميل حمولة PowerShell من خادم بعيد، والتي بدورها تنشر برمجية سرقة بيانات يُحتمل أن تطلق أيضًا مُعدّنًا للعملات الرقمية.
وأوضح الباحث بول مكارتي: “الأمر المقلق أكثر هو قيامهم بالتلاعب بإحصائيات تحميل npm لإظهار أن حزمهم قد حُمّلت ملايين المرات، مما يمنح برمجياتهم الخبيثة شرعية زائفة”.
