كشف خبراء الأمن السيبراني عن حملة هجمات خبيثة جديدة يتم تنفيذها بواسطة جهات تهديد كورية شمالية، تستهدف متخصصي تكنولوجيا المعلومات العاملين في قطاعات العملات المشفرة، والويب 3، والذكاء الاصطناعي. تهدف هذه الحملة، المسماة “Contagious Interview”، إلى سرقة الأصول الرقمية من خلال نشر برمجيات خبيثة متقدمة.
تستخدم الهجمة الجديدة أساليب تصيد متطورة، حيث تقوم بإخفاء شفرة خبيثة ضمن تقييمات لمقابلات عمل وهمية، وذلك عبر حزم برمجية ضارة (NPM packages) يقوم المطورون بتشغيلها عن غير قصد أثناء تقييم مهاراتهم التقنية.
حملة “Contagious Interview”: تكتيكات هجومية متطورة للعملات المشفرة
تمثل هذه الحملة تطوراً لافتاً في أساليب الجرائم المالية عبر الإنترنت. تستخدم الجهات المهاجمة عائلتين رئيسيتين من البرمجيات الخبيثة، وهما BeaverTail و InvisibleFerret، اللتان تم تحديثهما باستمرار بقدرات محسنة لسرقة البيانات.
أظهرت الإصدارات الأخيرة تقنيات متقدمة للتلاعب بإضافات المتصفح واعتراض بيانات الاعتماد الخاصة بالعملات المشفرة. هذا يؤكد على الطبيعة الديناميكية للتهديدات السيبرانية في عالم الأصول الرقمية.
آلية عمل الهجوم
تبدأ آلية الهجوم بتشغيل ضحايا البرمجيات الخبيثة لشفرة JavaScript خبيثة مدمجة في حزم NPM المقدمة خلال مقابلات عمل وهمية. يتواصل البرنامج النصي الأولي مع بنية تحتية للتحكم والسيطرة (C2) لاسترداد عناوين خادم مشفرة ومعرفات الحملة.
بعد ذلك، يقوم بتنزيل ملفي JavaScript متخصصين وبرنامج InvisibleFerret الخبيث القائم على Python. يعمل أحد مكونات JavaScript كباب خلفي (backdoor) خفيف الوزن يتيح تنفيذ الأوامر عن بعد، بينما يبحث المكون الآخر بشكل منهجي عن الملفات الحساسة التي تحتوي على كلمات مفتاحية مثل “wallet” و “metamask” و “private” و “mnemonic” و “password”، ويقوم باستخراجها.
التلاعب بإضافات MetaMask
يكمن الجانب الأكثر خطورة في الهجوم في التلاعبات الدقيقة بإضافات محفظة MetaMask الشرعية للعملات المشفرة. من خلال الباب الخلفي خفيف الوزن، يقوم المهاجمون بنشر سكربت إضافي يقوم بمسح المتصفحات (Chrome و Brave) بحثاً عن إضافات MetaMask المثبتة.
عند اكتشافها، يقوم البرنامج الخبيث بتنزيل نسخة مضغة من خوادم C2 ويجري تعديلات معقدة على ملفات تكوين المتصفح. يقوم الهجوم بالتلاعب بآليات أمان Chrome عن طريق إنشاء توقيعات HMAC-SHA256 صالحة تتجاوز أنظمة الكشف عن العبث.
تحتوي إضافة MetaMask المزيفة على شفرة معدلة بشكل طفيف، مع حوالي 15 سطراً خبيثاً تم حقنها في دالة submitPassword. عندما يقوم المستخدمون بفتح محافظهم، تلتقط الإضافة المزيفة كلمات المرور الرئيسية وملفات الخزانة المشفرة التي تحتوي على عبارات الاستعادة والمفاتيح الخاصة. يتم إرسال هذه البيانات المسروقة إلى خوادم المهاجمين، مما يوفر وصولاً كاملاً إلى مقتنيات العملات المشفرة للضحايا.
التوصيات الأمنية
يوصی الخبراء بمراقبة حزم NPM المشبوهة أثناء سير عمل التطوير وتطبيق عمليات مراجعة صارمة للشفرات. يجب على مسؤولي الشبكات حظر الاتصال بالبنية التحتية المحددة للتحكم والسيطرة.
ينبغي على المستخدمين التحقق من سلامة إضافات MetaMask من خلال متاجر المتصفحات الرسمية. يمكن أن يساعد المراقبة المنتظمة لأذونات إضافات المتصفح في اكتشاف محاولات الاختراق.
يجب على فرق الأمن تطبيق قواعد الكشف السلوكي التي تستهدف أنماط استخراج الملفات وتعديلات تكوين المتصفح غير المصرح بها. يجب على المطورين تجنب تشغيل حزم NPM غير الموثوق بها، خاصة تلك التي يتم تلقيها أثناء عمليات التوظيف.