هاكرز كوريا الشمالية يستهدفون المطورين عبر أدوات البرمجة

حذر خبراء الأمن الرقمي من حملات كورية شمالية تستهدف المطورين عبر أدوات البرمجة الشهيرة لنشر برمجيات خبيثة وسرقة بيانات المؤسسات التقنية والمالية.

كيف يستهدف الهاكرز المطورين عبر GitHub وVS Code؟

وفقاً لمتابعة تيكبامين للتقارير الأمنية الحديثة، فقد تم رصد حملات قرصنة منظمة تستغل منصات تطوير البرمجيات الشهيرة للوصول إلى شبكات الشركات الحساسة. تبدأ هذه الهجمات عبر رسائل بريد إلكتروني مخادعة تنتحل صفة عروض عمل أو طلبات لمراجعة أكواد برمجية (Code Review).

تعتمد الحملة بشكل أساسي على استدراج المطورين لتحميل مستودعات أكواد من منصة جيت هاب (GitHub) تحتوي على نصوص برمجية خبيثة. بمجرد فتح هذه الملفات باستخدام محرر الأكواد الشهير فيجوال ستوديو كود (VS Code) أو متصفح كيرسور (Cursor)، يتم تفعيل البرمجية الضارة تلقائياً دون أي تفاعل إضافي من المستخدم.

القطاعات المستهدفة في الحملة الأخيرة:

• المؤسسات المالية والمصرفية.
• شركات العملات الرقمية والمنصات التابعة لها.
• قطاع التعليم والبحث العلمي.
• شركات التكنولوجيا والبرمجيات الكبرى.

ما هي تفاصيل حملة UNK_DeadDrop الأمنية؟

تشير التقارير التي اطلعت عليها تيكبامين إلى أن الهاكرز يستخدمون تقنية متطورة تُعرف باسم "runOn: folderOpen". هذه التقنية تسمح بتنفيذ الأوامر البرمجية فور فتح المجلد داخل المحرر، مما يجعل المطورين عرضة للاختراق بمجرد فحصهم لمشروع برمجي جديد.

تم إرسال أكثر من 250 رسالة بريد إلكتروني استهدفت ما يقرب من 100 منظمة حول العالم، وتركزت أغلب هذه الأهداف في الولايات المتحدة والمملكة المتحدة وفرنسا وألمانيا واليابان. تتضمن الرسائل روابط لمشاريع وهمية تتعلق بالعملات المشفرة أو مهام تقنية لاختبار قدرات المبرمجين.

كيف تعمل برمجية Overlord الخبيثة على أنظمة التشغيل؟

بمجرد نجاح عملية التحميل، تقوم الحملة بتثبيت برمجية خبيثة عابرة للمنصات تُدعى "Overlord". تم تصميم هذه البرمجية للعمل بكفاءة على مختلف أنظمة التشغيل، وتتميز بالقدرات التالية:

• نظام ويندوز (Windows): تعتمد على نصوص VBScript لتثبيت إضافات خبيثة للمتصفح.
• نظام ماك أو إس (macOS): تستخدم نصوص شل (Shell Script) لسرقة كلمات المرور والبيانات.
• نظام لينكس (Linux): تقوم بتنفيذ عمليات استطلاع للنظام وتسريب البيانات إلى خوادم خارجية.

آلية عمل الإضافات الخبيثة:

يقوم المهاجمون بتثبيت إضافة خبيثة لبرنامج فيجوال ستوديو كود (VSIX) تتنكر في شكل خدمة رسمية من شركة جوجل. تهدف هذه الإضافة إلى:

• تنفيذ أوامر عن بُعد على جهاز الضحية.
• استخراج البيانات من إضافات المحافظ الرقمية في المتصفحات.
• سرقة بيانات الاعتماد وكلمات المرور المخزنة.
• إرسال لقطات شاشة ومعلومات النظام للمهاجمين.

ما هي الإجراءات الوقائية لحماية المطورين من الاختراق؟

تؤكد المصادر التقنية أن هذه الحملات تتطور باستمرار، حيث انتقل الهاكرز من استخدام عروض العمل الوهمية إلى طلبات مراجعة المشاريع مفتوحة المصدر لزيادة المصداقية. ومن الضروري أن يتوخى المطورون الحذر عند فتح أي مشاريع من مصادر غير موثوقة، خاصة تلك التي تطلب استخدام إضافات معينة أو تنفيذ أوامر برمجية مشبوهة.

في الختام، يوصي خبراء الأمن الرقمي بضرورة فحص المستودعات البرمجية جيداً قبل تشغيلها في بيئة العمل الأساسية، وتفعيل ميزات الأمان في محررات الأكواد التي تطلب إذناً صريحاً قبل تنفيذ أي أكواد تلقائية، وذلك لضمان عدم الوقوع ضحية لبرمجيات كوريا الشمالية المتطورة.