قراصنة كوريا الشمالية يستغلون VS Code لنشر برمجيات خبيثة

كشفت شركة NTT Security اليابانية عن حملة قرصنة جديدة من قبل جهات تهديد كورية شمالية تستغل مشاريع Visual Studio Code لنشر برمجية خبيثة جديدة تُعرف باسم StoatWaffle. وتأتي هذه الحملة ضمن حملة أوسع تُعرف بـ "Contagious Interview" التي تستهدف مطوري البرمجيات ومؤسسي الشركات الناشئة.

ما هي برمجية StoatWaffle وكيف تعمل؟

StoatWaffle هي برمجية خبيثة معيارية مكتوبة بلغة Node.js، وتتميز بقدراتها على:

• سرقة البيانات الحساسة من الأجهزة المصابة
• العمل كأداة وصول عن بعد (RAT) تمنح المهاجمين تحكماً كاملاً
• التحديث المستمر لتطويرcapabilities جديدة

وفقاً لتيكبامين، هذه البرمجية تمثل تطوراً خطيراً في تكتيكات القراصنة الكوريين الشماليين الذين يستمرون في ابتكار أساليب جديدة لاستهداف نظام البيئتي المفتوح المصدر.

كيف يستغل المهاجمون VS Code؟

التكتيك الجديد يعتمد على exploiting ملف tasks.json في مشاريع VS Code، وهو تكتيك بدأ استخدامه في ديسمبر 2025. تستغل الهجمة خيار "runOn: folderOpen" الذي يؤدي إلى تشغيل تلقائي للمهمة عند فتح أي ملف في مجلد المشروع.

تشير تحليلات تيكبامين إلى أن هذه الطريقة تسمح للبرمجية الخبيثة بالتنفيذ بصمت دون تدخل المستخدم، مما يجعلها شديدة الخطورة.

مراحل الإصابة بالبرمجية

• تحميل بيانات من تطبيق ويب على Vercel
• التحقق من تثبيت Node.js وتنزيله إذا كان غير موجود
• إطلاق برنامج تحميل يتصل بخادم خارجي بشكل دوري
• تنفيذ المرحلة التالية من البرمجية ككود Node.js

من هم المستهدفون بهذه الهجمات؟

تستهدف هذه الحملة فئات محددة من المحترفين في قطاع التشفير والـ Web3:

• المؤسسون الشركاء للشركات الناشئة
• كبار المهندسين وقسم التكنولوجيا (CTOs)
• المطورون ذوو الصلاحيات المتقدمة على البنية التحتية

حسب تقرير NTT Security، يستخدم المهاجمون أسلوب الهندسة الاجتماعية المتطورة عبر عمليات توظيف مزيفة تحاكي مقابلات عمل حقيقية.

تكتيكات الهندسة الاجتماعية

• الاتصال بالضحايا عبر LinkedIn
• إجراء مقابلات تقنية مقنعة
• إقناع الضحايا بتشغيل أوامر خبيثة
• تحميل حزم برمجية من GitHub أو GitLab

وقد تضمنت إحدى الحالات محاولة فاشلة لاستهداف مؤسس AllSecure.io عبر مقابلة وظيفية مزيفة.

كيف تحمي نفسك من هذه الهجمات؟

للحماية من هذه الحملة الخبيثة، يُنصح المطورون والمهندسون باتخاذ عدة تدابير أمنية:

• التحقق من صحة عروض التوظيف عبر قنوات رسمية
• فحص مشاريع GitHub أو GitLab قبل تنفيذها
• استخدام بيئات معزولة لاختبار الكود غير الموثوق
• مراجعة ملفات tasks.json قبل فتح المشاريع
• تفعيل المصادقة متعددة العوامل على جميع الحسابات

علامات التحذير

• طلبات توظيف غير متوقعة من شركات غير معروفة
• مقابلات تركز على تشغيل أوامر معينة
• طلبات تحميل مشاريع من مصادر خارجية
• ضغط لإنجاز المهام بسرعة دون مراجعة

تؤكد هذه الحملة المستمرة أهمية اليقظة الأمنية في مجتمع التطوير، خاصة对于那些 الذين يعملون في قطاع التشفير والـ Web3 حيث تكون الأصول الرقمية عالية القيمة عرضة للاستهداف.