رصد باحثون أمنيون حملة تجسس إلكتروني متطورة تقودها مجموعات قرصنة مرتبطة بكوريا الشمالية، تستهدف المطورين والمهندسين البرمجيين من خلال مشاريع Visual Studio Code مفخخة تهدف لسرقة البيانات والتحكم بالأجهزة.
كيف تعمل حملة التوظيف الوهمية؟
تُعرف هذه الحملة باسم "المقابلة المعدية" (Contagious Interview)، حيث يتظاهر القراصنة بأنهم أصحاب عمل يجرون مقابلات توظيف مع مطورين. وبحسب المعلومات التي تابعها فريق تيكبامين، يطلب المهاجمون من الضحية إكمال "مهمة تقييم" برمجية تتضمن الخطوات التالية:
- تحميل أو استنساخ مستودع (Repository) من منصات معروفة مثل GitHub أو GitLab أو Bitbucket.
- فتح المشروع باستخدام محرر الأكواد الشهير VS Code.
- بمجرد فتح المشروع، تبدأ عملية الإصابة تلقائياً دون علم الضحية.
استغلال ملفات tasks.json الخطيرة
تكمن خطورة هذا الهجوم في استغلال ملفات التكوين الآلي داخل المحرر، وتحديداً ملف tasks.json. تم إعداد هذا الملف لتنفيذ أوامر برمجية خبيثة تلقائياً بمجرد فتح المجلد (runOn: folderOpen)، مما يؤدي إلى تحميل برمجيات خبيثة مثل BeaverTail وInvisibleFerret.
عندما يفتح المطور المشروع، يظهر تحذير أمني من Visual Studio Code يطلب "الثقة" في الكاتب. إذا وافق المستخدم، يتم تفعيل الباب الخلفي (Backdoor) الذي يمنح المخترقين قدرة تنفيذ الأكواد عن بُعد (RCE) على جهاز الضحية.
تطور أساليب التخفي واستهداف macOS
أظهرت التحليلات الأمنية تطوراً ملحوظاً في تكتيكات هذه المجموعة منذ اكتشافها لأول مرة في ديسمبر 2025. تشمل الأساليب الجديدة ما يلي:
- إخفاء البرمجيات الخبيثة على شكل ملفات قواميس تدقيق إملائي للتمويه.
- استخدام نطاقات Vercel لاستضافة الحمولات الخبيثة وتنزيلها.
- استهداف خاص لأنظمة macOS عبر تنفيذ أوامر shell في الخلفية باستخدام
nohup bash.
ويحذر تيكبامين المطورين من فتح أي مشاريع برمجية من مصادر غير موثوقة تماماً، خاصة تلك التي تأتي في سياق عروض عمل مفاجئة أو تقييمات فنية مشبوهة، حيث يقوم الهجوم بتشغيل كود JavaScript مبهم فور فتح بيئة التطوير للتواصل مع خوادم القيادة والتحكم.
