كشفت تقارير أمنية حديثة أن مجموعة التهديدات الكورية الشمالية المعروفة باسم WaterPlum، والتي تقف وراء حملة “المقابلة المعدية”، طورت أسلوباً جديداً لنشر برمجية خبيثة تحمل اسم StoatWaffle عبر مشاريع خبيثة في منصة Visual Studio Code (VS Code).
الأسلوب يعتمد على ملف tasks.json داخل بيئة VS Code، حيث يتم تفعيل خيار runOn: folderOpen ليُشغّل البرمجية تلقائياً بمجرد فتح أي ملف داخل المشروع، وهو تكتيك ظهر منذ ديسمبر 2025 ويُعد من أكثر الأساليب خطورة لأنه يستغل الثقة التي يضعها المطورون في أدواتهم اليومية.
طبيعة البرمجية ووظائفها
برمجية StoatWaffle تعمل بشكل معياري باستخدام Node.js، وتضم وحدتين أساسيتين:
- وحدة سرقة البيانات (Stealer): تستهدف المتصفحات المبنية على Chromium وFirefox لسرقة بيانات الدخول والامتدادات، كما تستولي على قاعدة بيانات iCloud Keychain في أجهزة macOS.
- وحدة الوصول عن بُعد (RAT): تتيح للمهاجمين تنفيذ أوامر على الجهاز المصاب، مثل تغيير الأدلة، رفع الملفات، تشغيل أوامر Shell، وحتى إنهاء نفسها لتفادي الكشف.
البرمجية تبدأ بفحص وجود Node.js في النظام، وإذا لم يكن مثبتاً تقوم بتحميله من الموقع الرسمي، ثم تنطلق في سلسلة من عمليات التنزيل المتتابعة من خوادم خارجية لتنفيذ التعليمات الخبيثة.
حملات موازية واستهداف بيئة المصادر المفتوحة
لا يقتصر نشاط المجموعة على VS Code فقط، بل شمل:
- نشر حزم npm خبيثة تحمل برمجية PylangGhost.
- حملة PolinRider التي زرعت شيفرات JavaScript مشفرة في مئات مستودعات GitHub، أدت إلى نشر نسخة جديدة من برمجية BeaverTail.
- اختراق مستودعات تابعة لمؤسسة Neutralinojs عبر حساب مساهم قديم، حيث تم زرع شيفرات تستغل معاملات بلوك تشين مثل Tron وBinance Smart Chain لتنزيل البرمجيات الخبيثة.
هذه الحملات تؤكد أن المجموعة تستهدف بشكل مباشر المطورين ومنصات المصادر المفتوحة، مستغلة الثقة العالية في هذه البيئة.
الهندسة الاجتماعية واستهداف قطاع العملات الرقمية
وفقاً لتحليلات مايكروسوفت، فإن المهاجمين يلجأون إلى مقابلات عمل وهمية عبر منصات مثل LinkedIn لاستدراج مطورين بارزين، من بينهم مؤسسون ومديرو تقنيات في شركات العملات الرقمية وقطاع Web3.
يتم إقناع الضحايا بتنفيذ أوامر أو تحميل حزم خبيثة كجزء من “اختبار تقني”، ما يمنح المهاجمين وصولاً مباشراً إلى البنية التحتية للشركات ومحافظ العملات الرقمية.
وقد رُصدت محاولات لاستهداف مؤسس شركة AllSecure.io عبر مقابلة مزيفة لم تكلل بالنجاح.
استجابة مايكروسوفت والإجراءات الأمنية
رداً على هذه الهجمات، أضافت مايكروسوفت في تحديث يناير 2026 (الإصدار 1.109) إعداداً جديداً باسم task.allowAutomaticTasks، والذي يكون افتراضياً في وضع الإيقاف، لمنع التشغيل التلقائي للمهام عند فتح المشاريع.
كما أضافت تحديثات لاحقة تنبيهات إضافية عند اكتشاف مهام تلقائية في بيئة العمل، ما يشكل طبقة حماية جديدة للمطورين.
هذه الإجراءات تأتي في وقت تتزايد فيه الهجمات التي تستغل أدوات التطوير الموثوقة، ما يفرض على المطورين مزيداً من الحذر عند التعامل مع المشاريع مفتوحة المصدر أو الحزم غير الموثوقة.
البعد السياسي والاقتصادي للهجمات
الهجمات الإلكترونية الكورية الشمالية ليست مجرد نشاط تقني، بل ترتبط مباشرة بجهود النظام في توليد الإيرادات وتجاوز العقوبات الدولية.
وزارة العدل الأميركية أعلنت مؤخراً عن محاكمة ثلاثة أفراد تورطوا في تسهيل عمليات عمال تكنولوجيا المعلومات الكوريين الشماليين، حيث تم الحكم عليهم بالسجن أو الغرامات المالية بعد ثبوت تورطهم في عمليات احتيال مرتبطة بالنظام.
تقارير من شركات مثل Flare وIBM X-Force أوضحت أن هؤلاء العمال يُعتبرون نخبة داخل المجتمع الكوري الشمالي، ويخضعون لتدريب صارم قبل الانخراط في هذه الأنشطة، التي تشمل سرقة المعلومات، الابتزاز، ودعم الحملات السيبرانية الأخرى.
