كشف باحثون في الأمن السيبراني عن موجة جديدة من حملة “المقابلة المعدية” التي تنفذها جهات تهديد مرتبطة بكوريا الشمالية، حيث تم نشر 26 حزمة خبيثة على سجل npm الشهير. هذه الحزم تتظاهر بأنها أدوات تطوير، لكنها في الواقع تحتوي على وظائف خفية لاستخراج بنية التحكم والسيطرة (C2) عبر محتوى ظاهري غير ضار على منصة Pastebin، قبل أن تُسقط برمجيات خبيثة تستهدف المطورين، بما في ذلك أدوات لسرقة بيانات الاعتماد و”تروجان” للتحكم عن بُعد.
الحملة التي أطلق عليها اسم StegaBin تُنسب إلى مجموعة تهديد تُعرف بـ”Famous Chollima”، وتستغل بنية تحتية مستضافة على منصة Vercel عبر 31 نشر مختلف، ما يعكس مستوى متقدم من التخفي والمرونة.
آلية التخفّي عبر الاستيجانوجرافي
وفقاً للباحثين في شركة Socket، فإن البرمجية الخبيثة تقوم باستخراج عناوين C2 من نصوص مخزنة على Pastebin، حيث يتم إخفاء العناوين داخل مقالات تبدو أكاديمية في علوم الحاسوب. يتم استبدال أحرف في مواقع متباعدة بشكل مدروس لتشكيل عناوين البنية التحتية.
البرمجية تقوم بإزالة رموز يونيكود غير مرئية، ثم تقرأ مؤشراً لطول النص، وتحدد مواقع الأحرف المستهدفة، لتستخلص منها قائمة من النطاقات التي تُستخدم لاحقاً لجلب الحمولة الخبيثة الموجهة لأنظمة ويندوز وماك ولينكس.
الحزم الخبيثة وآلية التنفيذ
جميع الحزم الـ 26 تتضمن ملف تثبيت باسم “install.js” يُنفذ تلقائياً عند التثبيت، ويقوم بتشغيل الحمولة الخبيثة الموجودة في “vendor/scrypt-js/version.js”. ومن أبرز هذه الحزم:
- argonist@0.41.0
- bcryptance@6.5.2
- bubble-core@6.26.2
- expressjs-lint@5.3.2
- vitetest-lint@4.1.21
- windowston@3.19.2
وغيرها من الحزم التي تتبع أسلوب typosquatting عبر تقليد أسماء مكتبات مشهورة مع إضافتها كاعتماديات لإضفاء مصداقية زائفة.
وحدات التجسس وجمع المعلومات
الحمولة الخبيثة تتضمن تسعة وحدات متخصصة، أبرزها:
- وحدة vs التي تستغل محرر VS Code عبر ملف tasks.json خبيث لضمان الاستمرارية.
- وحدة clip التي تعمل كمسجل ضغطات مفاتيح ومراقب للنوافذ النشطة مع سرقة محتوى الحافظة.
- وحدة bro لسرقة بيانات اعتماد المتصفحات.
- وحدة j لاستهداف متصفحات متعددة ومحافظ العملات الرقمية مثل MetaMask وCoinbase وBinance.
- وحدة git لجمع بيانات من مجلدات SSH وسرقة بيانات المستودعات.
- وحدة truffle التي تستغل أداة TruffleHog الشرعية لاكتشاف أسرار المطورين.
هذه الوحدات تُظهر أن الهدف الأساسي هو التجسس على بيئات التطوير وسرقة بيانات حساسة من المطورين والشركات التقنية.
