كشفت تقارير أمنية عن حملة تجسسية جديدة تُنسب إلى جهات تهديد كورية شمالية، تُعرف باسم Contagious Interview أو DeceptiveDevelopment، تستخدم أساليب هندسة اجتماعية متطورة لإغراء الباحثين عن عمل بتنزيل تحديث مزيف منسوب إلى شركة NVIDIA.
تركّز الحملة على استغلال من يتقدمون إلى وظائف تقنية عبر الإنترنت، وتحديدًا خلال مرحلة التقييمات المرئية (video assessments)، حيث يتلقى الضحية إشعارًا يحثه على تثبيت تحديث يُزعم أنه يعالج مشكلات في الكاميرا أو الميكروفون، بهدف تسهيل عملية التقييم.
ClickFix: أسلوب خبيث في التمويه
يعتمد المهاجمون في هذه الحملة على أسلوب ClickFix الذي ازداد استخدامه مؤخرًا، حيث يتم خداع المستخدم لتنزيل ملفات تبدو داعمة لحل مشكلة تقنية عاجلة، لكنها في الحقيقة تحمل تعليمات برمجية خبيثة. وفي هذه الحالة، يحتوي الملف المزيف على سكربت بلغة Visual Basic يقوم، عند تنفيذه، بتحميل وتشغيل حمولة ضارة مكتوبة بلغة بايثون تُعرف باسم PylangGhost.
PylangGhost: أداة تجسس متعددة الوظائف
برمجية PylangGhost تُعد أداة تجسس متقدمة، تقوم بسرقة بيانات اعتماد الدخول (credentials)، ما يمكّن المهاجم من التسلل إلى حسابات البريد الإلكتروني، والمنصات المهنية، وحتى أنظمة العمل عن بُعد. كما تتيح هذه البرمجية التحكم الكامل في الجهاز المصاب عبر تطبيق MeshAgent، الذي يُستخدم لتوفير الاتصال عن بُعد بسرّية تامة.
هذه الإمكانيات تجعل من PylangGhost تهديدًا جادًا للمؤسسات التقنية التي توظّف عن بُعد، خاصة إذا نجح المهاجم في اختراق أجهزة الموظفين أو المتقدمين للوظائف، ما يمكّنه من التوسع داخل شبكات الشركات المستهدفة.
سياق أوسع: نشاط كوري شمالي متواصل يستهدف القطاعات التقنية
تأتي هذه الحملة ضمن سلسلة من العمليات السيبرانية التي تُنسب إلى جهات تهديد مدعومة من كوريا الشمالية، والتي تستهدف بشكل خاص الشركات التكنولوجية والعاملين في قطاع تطوير البرمجيات.
ويُعتقد أن الدافع وراء هذه الهجمات يتجاوز مجرد سرقة بيانات الأفراد، ليشمل جمع معلومات استخباراتية عن الشركات الغربية، والحصول على موطئ قدم في بيئات العمل التقنية لأغراض التجسس أو حتى تنفيذ هجمات لاحقة أكثر تعقيدًا.
توصيات أمنية: الحذر من التحديثات غير الرسمية
يحذر الخبراء من تحميل أي ملفات أو تحديثات من خارج المواقع الرسمية، خاصة عندما يُطلب من المستخدم تنفيذ ملفات سكربت أو إعدادات خاصة تحت ذريعة مشاكل فنية. كما تُنصح المؤسسات بتطبيق سياسات صارمة لتأمين بيئة التوظيف عن بُعد، ومراقبة أي محاولات اتصال غير مصرح بها باستخدام أدوات التحكم عن بُعد.
