قراصنة كوريا الشمالية يحوّلون أدوات المطوّرين إلى قنوات لنشر البرمجيات الخبيثة

قراصنة كوريا الشمالية يحوّلون أدوات المطوّرين إلى قنوات لنشر البرمجيات الخبيثة
قراصنة كوريا الشمالية يحوّلون أدوات المطوّرين إلى قنوات لنشر البرمجيات الخبيثة
شارك هذا الخبر

أفاد تقرير صادر عن شركة Proofpoint أن مجموعة تهديد مرتبطة بكوريا الشمالية، تُعرف باسم Contagious Interview أو Famous Chollima، أطلقت حملة خبيثة جديدة تحمل الاسم الرمزي UNK_DeadDrop. الحملة اعتمدت على رسائل تصيّد إلكتروني موجهة إلى قرابة 100 مؤسسة في قطاعات المال، العملات المشفّرة، التعليم، والتكنولوجيا، عبر إيهام المستهدفين بمهام توظيف أو مراجعة أكواد برمجية. الرسائل تضمنت روابط لمستودعات GitHub مزيفة تحتوي على سكربتات خبيثة تؤدي إلى تشغيل برمجيات ضارة عبر أنظمة macOS وLinux وWindows، باستخدام إطار عمل مفتوح المصدر يدعى Overlord.

استغلال Visual Studio Code وتقنيات التنفيذ التلقائي

أحد أبرز الأساليب التي ربطت هذه الحملة ببيونغ يانغ هو استغلال مشاريع Visual Studio Code عبر خاصية runOn: folderOpen، التي تتيح تنفيذ التعليمات البرمجية بمجرد فتح المشروع في بيئة التطوير دون أي تدخل من المستخدم. هذا التكتيك ظهر منذ ديسمبر 2025، وأصبح وسيلة فعّالة لنشر برمجيات خبيثة على نطاق واسع. خلال ستة أسابيع فقط، أُرسلت أكثر من 250 رسالة بريدية، استهدفت بشكل رئيسي مؤسسات في الولايات المتحدة، إلى جانب دول أخرى مثل المملكة المتحدة، ألمانيا، الهند، إسرائيل، واليابان.

آليات العدوى وسرقة البيانات

سلسلة العدوى تبدأ بتحميل سكربتات مخصّصة لكل نظام تشغيل:

  • macOS وLinux: سكربتات شيل تقوم بتثبيت إضافة خبيثة لبرنامج VS Code تتظاهر بأنها خدمة من Google، وتطلب من المستخدم إدخال كلمة المرور عبر نافذة أمان مزيفة.
  • Windows: سكربت VB يقوم بتشغيل ملف CMD لتثبيت الإضافة الخبيثة.

هذه الإضافات تتواصل مع خادم خارجي لتنفيذ أوامر عن بُعد، جمع معلومات النظام، وسرقة بيانات من إضافات محافظ العملات المشفّرة في المتصفح أو تطبيقات سطح المكتب. الهدف النهائي هو استخراج بيانات الاعتماد والمحافظ وإرسالها إلى خادم المهاجمين عبر طلبات HTTP.

تطور الأساليب واستخدام إضافات خبيثة في السوق الرسمي

إلى جانب حملة UNK_DeadDrop، كشفت شركة Yeeth Security عن ثلاث إضافات خبيثة في متجر VS Code الرسمي، منها:

  • ByteBinTools.jupyter-powerdev-2026.6.8.vsix
  • ToolCraft.jupyter-powertools-3.21.0.vsix
  • OLDev.markdown-mode-devtools-2.1.0.vsix

هذه الإضافات صُممت لتبدو كأدوات إنتاجية عادية، لكنها في الواقع أبواب خلفية متعددة المراحل قادرة على تجاوز أنظمة الحماية، وتنفيذ أوامر، وقراءة وكتابة الملفات، إضافة إلى سرقة البيانات عبر قنوات C2 تعتمد على SharePoint وMicrosoft Graph API.

سياق أوسع للهجمات الكورية الشمالية

تتزامن هذه الاكتشافات مع سلسلة طويلة من الحملات المرتبطة بكوريا الشمالية، منها:

  • هجمات عبر حزم npm خبيثة مثل redeem-onchain-sdk وnicegui، استُخدمت لنشر أدوات سرقة بيانات.
  • حملة TaskJacker التي تستغل ملفات المهام في VS Code لنشر برمجيات خبيثة بشكل يشبه الديدان.
  • استغلال حزم PHP عبر Packagist لنشر برمجيات مثل DEV#POPPER RAT.
  • تطوير برمجيات مثل InvisibleFerret وBeaverTail لتصبح أكثر تعقيدًا عبر تحويلها إلى ملفات ثنائية (.pyd و.so).
  • حملات واسعة استهدفت مطوّري العملات المشفّرة، أدت إلى سرقة أكثر من 12 مليون دولار خلال الأشهر الثلاثة الأولى من 2026، وفق بيانات شركة Expel.

هذه الأنشطة تؤكد أن كوريا الشمالية تواصل الاستثمار في استهداف المطوّرين والبنى التحتية البرمجية، مستفيدة من العقوبات الاقتصادية التي تجعل الجرائم المالية وسيلة مغرية لتعزيز مواردها.

وسوم
محمد وهبى
محمد وهبى
المقالات: 1219

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة