أطلقت شركة مايكروسوفت تحذيراً عاجلاً بشأن حملة برمجيات خبيثة متطورة تستهدف المطورين، حيث تستخدم مستودعات وهمية لاختراق الأنظمة وسرقة البيانات الحساسة.
كيف تستهدف هذه البرمجيات الخبيثة المطورين؟
تعتمد هذه الحملة المنظمة على خداع المطورين الباحثين عن فرص عمل جديدة، من خلال تقديم اختبارات تقنية وهمية. يقوم المهاجمون بإنشاء مشاريع مزيفة تبدو وكأنها تطبيقات شرعية مبنية باستخدام بيئة Next.js الشهيرة.
وبمجرد أن يقوم المطور بتشغيل الكود كجزء من التقييم الفني، يتم تفعيل سلسلة من الأوامر البرمجية الضارة. تستغل هذه الهجمات منصات تطوير موثوقة مثل Bitbucket لاستضافة المستودعات بأسماء احترافية لتجنب إثارة الشكوك.
أبرز طرق التخفي والخداع
- انتحال صفة شركات توظيف لتقديم عروض عمل وهمية واختبارات مفخخة.
- استخدام أسماء مشاريع جذابة مثل "Cryptan-Platform-MVP1".
- تنفيذ أكواد جافا سكريبت ضارة مباشرة في الذاكرة العشوائية (RAM).
- تجنب ترك أي ملفات خبيثة على القرص الصلب لتجاوز برامج الحماية.
ما هي خطورة اختراق أجهزة المطورين؟
أكد باحثو الأمن السيبراني في مايكروسوفت أن جميع مسارات الهجوم تؤدي إلى نتيجة واحدة شديدة الخطورة. يتم جلب أكواد جافا سكريبت خبيثة من خوادم خارجية وتنفيذها لإنشاء قناة اتصال دائمة مع خوادم التحكم والسيطرة.
وحسب تحليل خبراء تيكبامين، فإن هذه البرمجيات تقوم بجمع معلومات دقيقة عن جهاز الضحية بصمت. بعد ذلك، تطلب البرمجية معرفاً فريداً لكل جهاز لضمان استمرار الاتصال وتلقي الأوامر الإضافية دون لفت الانتباه.
تتمتع هذه البرمجيات الخبيثة بقدرة عالية على الاستقرار وإعادة المحاولة عند فشل الاتصال. كما يمكنها إرسال تقارير الأخطاء للمهاجمين، وإيقاف العمليات البرمجية بشكل نظيف عند تلقي أمر بذلك لتجنب اكتشافها.
من يقف وراء حملة البرمجيات الخبيثة؟
على الرغم من أن مايكروسوفت لم توجه أصابع الاتهام بشكل مباشر لجهة محددة، إلا أن التكتيكات المستخدمة تتطابق مع أساليب معروفة مسبقاً. تشير الدلائل التقنية إلى ارتباط هذه الأنشطة بمجموعات قرصنة مدعومة من كوريا الشمالية.
تستخدم هذه المجموعات تقنيات متقدمة مثل استغلال مهام محرر الأكواد (VS Code) ونطاقات Vercel لتمرير التهديدات. تُعرف هذه الحملة المستمرة منذ فترة طويلة في الأوساط الأمنية باسم المقابلة المعدية (Contagious Interview).
أهداف المهاجمين الرئيسية
- الوصول إلى الأكواد المصدرية (Source Code) للمشاريع التجارية.
- سرقة مفاتيح التشفير وكلمات المرور المخزنة في بيئة التطوير.
- استخدام جهاز المطور كنقطة انطلاق لاختراق شبكة الشركة بأكملها.
- تنفيذ عمليات استطلاع وسرقة بيانات سرية دون ترك أي أثر رقمي واضح.
في النهاية، يشدد فريق تيكبامين على ضرورة فحص أي أكواد برمجية مجهولة المصدر قبل تشغيلها. يجب على المطورين توخي الحذر الشديد لتجنب الوقوع ضحية لأي برمجيات خبيثة قد تدمر مشاريعهم وتخترق أنظمة شركاتهم الداعمة.
