حملة PolinRider عادت للواجهة بعد رصد 108 حزم خبيثة وإضافة متصفح تستهدف المطورين وسلاسل التوريد البرمجية عبر npm وGo وPackagist.
ما هي حملة PolinRider ولماذا تثير القلق؟
تكشف المعطيات الجديدة عن نشاط منسوب لمهاجمين مرتبطين بكوريا الشمالية، إذ جرى نشر عشرات الحزم والإضافات المصابة ضمن حملة PolinRider المستمرة منذ فترة. الخطر هنا لا يقتصر على ملف ضار واحد، بل يمتد إلى بيئات التطوير التي يعتمد عليها آلاف المطورين يوميا.
ووفق متابعة تيكبامين، تعتمد هذه العمليات على استغلال الثقة في المستودعات العامة والحسابات البرمجية، ما يجعل اكتشافها أصعب من الهجمات التقليدية. كما أن المهاجمين لا يترددون في تعديل مشاريع تبدو شرعية ثم تمرير إصدارات ملوثة إلى المستخدمين.
كم عدد الحزم الخبيثة التي جرى اكتشافها؟
البيانات تشير إلى 162 إصدارا خبيثا موزعة على 108 حزم وإضافات فريدة، وهو رقم يعكس اتساع الهجوم وتنوع منصاته. هذا الانتشار يمنح المهاجمين فرصا أكبر للوصول إلى مطورين يعملون على أدوات ومشاريع مختلفة.
أبرز التوزيع حسب المنصات
- 19 مكتبة خبيثة على npm
- 10 حزم Composer على Packagist
- 61 وحدة Go Modules
- إضافة واحدة على Google Chrome
هذا التنوع مهم لأن سلاسل التوريد البرمجية أصبحت هدفا مفضلا للهجمات الحديثة. وعندما تصاب حزمة شائعة، قد تنتقل العدوى إلى مشاريع وشركات عدة دون ملاحظة فورية.
كيف يتم اختراق المطورين عبر هذه الحملة؟
تعتمد الحملة على أساليب هندسة اجتماعية مرتبطة بعروض التوظيف والمقابلات الوهمية، حيث يجري استدراج المطورين إلى تشغيل ملفات أو مهام برمجية تبدو طبيعية. وفي بعض الحالات، يتقمص المهاجمون دور مجندين أو شركاء عمل عبر LinkedIn وGitHub ومنصات العمل الحر.
اللافت أيضا أن المهاجمين يستفيدون من إضافات خبيثة أو حزم npm مصابة للوصول إلى الأجهزة، ثم يوسعون الهجوم لاحقا إلى حسابات الصيانة والمشاريع العامة. هذا السيناريو يجعل الضرر مضاعفا لأنه يجمع بين اختراق الفرد واختراق بيئة العمل البرمجية.
ما الذي تفعله البرمجيات الخبيثة بعد التشغيل؟
- البحث عن ملفات إعدادات شائعة داخل مشاريع JavaScript
- حقن شيفرات خبيثة داخل ملفات التطبيق الموجودة
- استغلال مهام VS Code للتنفيذ التلقائي عند فتح المجلد
- تمهيد الطريق لسرقة البيانات أو نشر برمجيات إضافية
لماذا تعد مستودعات GitHub جزءا أساسيا من الهجوم؟
المشهد الأخطر يتمثل في إصابة عدد كبير من المستودعات العامة على GitHub، مع الإشارة إلى آلاف الحالات المرتبطة بملاك مختلفين. بعض الهجمات استهدفت أيضا ملفات VS Code Tasks عبر خيار تشغيل تلقائي عند فتح مجلد المشروع، ما يسمح بتنفيذ أوامر خفية داخل بيئة التطوير.
هذه النقطة تهم المطورين بشكل مباشر، لأن مجرد فتح مشروع مصاب داخل VS Code أو Cursor قد يكون كافيا لبدء التنفيذ الضار. لذلك، لا يكفي فحص الكود فقط، بل يجب التدقيق في ملفات المهام والإضافات والحزم التابعة للمشروع.
كيف تحمي نفسك من حزم PolinRider الخبيثة؟
أفضل خطوة الآن هي مراجعة الاعتماديات المضافة حديثا، والتحقق من هوية الناشرين، وعدم تشغيل مهام أو إضافات غير موثوقة داخل بيئة التطوير. كما ينصح بتفعيل المصادقة متعددة العوامل ومراقبة أي تغييرات غير مبررة في المستودعات والحسابات.
- راجع الحزم الجديدة قبل تثبيتها
- افحص ملفات tasks داخل المشاريع المشتركة
- حدث أدوات الحماية الخاصة بالمطورين
- راقب محاولات استعادة الحسابات أو النطاقات المنتهية
في النهاية، تؤكد حملة PolinRider أن أمن المطورين لم يعد مسألة فردية، بل خط دفاع أساسي عن الشركات والمشاريع مفتوحة المصدر. ولهذا تواصل تيكبامين متابعة هذا الملف، خصوصا مع احتمال ظهور حزم خبيثة جديدة خلال الفترة المقبلة.