كشف باحثو الأمن السيبراني عن موجة جديدة من الهجمات الإلكترونية تستهدف مستودعات البرمجيات المفتوحة المصدر، وتحديداً npm وPyPI، والتي ترتبط بمجموعة لازاروس (Lazarus) سيئة السمعة. وفقاً لما رصده تيكبامين، تعتمد هذه الحملة على عروض توظيف وهمية للإيقاع بالمطورين.
ما هي تفاصيل حملة graphalgo الخبيثة؟
أطلق الباحثون اسم "graphalgo" على هذه الحملة المنسقة، في إشارة إلى أول حزمة برمجية خبيثة تم اكتشافها في سجل npm. وتشير التقديرات إلى أن هذه الأنشطة بدأت منذ مايو 2025، وتستهدف بشكل أساسي المطورين العاملين في مجالات البلوك تشين والعملات الرقمية.
تتضمن الاستراتيجية المتبعة خداع المطورين عبر منصات التواصل الاجتماعي والمنتديات التقنية:
- التواصل عبر LinkedIn وFacebook.
- نشر عروض عمل مزيفة على Reddit.
- انتحال صفة شركات تعمل في مجال العملات المشفرة.
من المثير للقلق أن إحدى الحزم المكتشفة، وتدعى bigmathutils، قد حصدت أكثر من 10,000 عملية تنزيل لنسختها الأولى الآمنة، قبل أن يتم تحديثها لاحقاً بنسخة تحتوي على حمولة خبيثة.
كيف يتم استدراج الضحايا؟
تبدأ سلسلة الهجوم عادةً بإنشاء واجهة لشركة وهمية، مثل "Veltrix Capital"، لإضفاء الشرعية على العرض. يقوم المهاجمون بإعداد بنية تحتية رقمية كاملة تشمل:
- تسجيل نطاق ويب رسمي للشركة الوهمية.
- إنشاء منظمة على GitHub تحتوي على مستودعات برمجية.
- استخدام مشاريع تعتمد على Python وJavaScript كجزء من "اختبارات التوظيف".
أشار تقرير تيكبامين إلى أن المستودعات نفسها غالباً ما تكون نظيفة، ولكنها تعتمد على تبعيات (Dependencies) خارجية مستضافة على npm وPyPI، وهي التي تحتوي على الكود الخبيث الفعلي.
ما هي مخاطر برمجيات RAT المستخدمة؟
بمجرد تشغيل الضحية للمشروع البرمجي، يتم تثبيت التبعية الخبيثة التي تعمل كقناة لنشر حصان طروادة للوصول عن بعد (RAT). يتيح هذا البرنامج للمهاجمين التحكم الكامل في جهاز الضحية وتنفيذ أوامر متعددة:
- جمع معلومات النظام الحساسة.
- سرد الملفات والمجلدات والعمليات الجارية.
- إنشاء مجلدات جديدة أو إعادة تسمية الملفات.
- حذف الملفات أو تحميل وتنزيل بيانات جديدة.
تستخدم هذه البرمجيات آلية اتصال محمية برمز مميز (Token) للتواصل مع خوادم القيادة والتحكم (C2)، وهو تكتيك مشابه لما تم رصده في هجمات سابقة لمجموعات قرصنة كورية شمالية.
