أفادت تقارير أمنية حديثة بأن مجموعة قرصنة مدعومة من النظام في كوريا الشمالية، تعرف باسم “HexagonalRodent”، تشن حملة خبيثة تستهدف مطوري البرمجيات، وخاصة العاملين في مجال Web3، بهدف سرقة العملات المشفرة والأصول الرقمية. يأتي هذا التطور في ظل استخدام متزايد للذكاء الاصطناعي لتنفيذ هذه الهجمات، مما يثير قلقاً متزايداً في قطاع الأمن السيبراني.
تعتمد المجموعة، التي يُعتقد أنها جزء من منظومة “لازاروس” الأوسع، على أسلوب خادع يعتمد على انتحال صفة شركات توظيف. يتم ذلك عبر التواصل مع المطورين عبر منصات مهنية مثل LinkedIn أو نشر إعلانات وظائف وهمية. وبعد جذب انتباه المطورين المهتمين، يتم إرسال “تقييم برمجي منزلي” يبدو شرعياً، ولكنه يخفي برمجيات خبيثة.
حملة لازاروس المدعومة بالذكاء الاصطناعي تستهدف المطورين
تركز هذه الحملة على سرقة الأصول الرقمية، حيث كشفت التحقيقات عن نجاح المجموعة في استخلاص عدد كبير من محافظ العملات المشفرة. فقد تمكنت المجموعة خلال ثلاثة أشهر فقط من استخلاص 26,584 محفظة مشفرة من 2,726 نظاماً مطوراً مصاباً، وتعرضت مفاتيح عامة لمحافظ تحتوي على ما يصل إلى 12 مليون دولار أمريكي من الأصول الرقمية.
ما يميز هذه الحملة هو الاستخدام المكثف والمتعمد لأدوات الذكاء الاصطناعي التوليدي. فقد لجأ المهاجمون إلى أدوات مثل ChatGPT و Cursor لكتابة أكواد البرمجيات الخبيثة، وإنشاء مواقع شركات وهمية، وتركيب فرق قيادية خيالية، وذلك لإضفاء المصداقية على واجهات التوظيف الاحتيالية.
آلية الإصابة والتطورات الأخيرة
اكتشف محللون وخبراء أمنيون في شركة Expel الحملة بعد التحقيق في إصابة ببرمجية BeaverTail خبيثة في شبكة أحد العملاء في أكتوبر 2025. أدت هذه الإصابة إلى الكشف عن شبكة واسعة من لوحات التحكم والقيادة (C2) والبنية التحتية وأنظمة التتبع الداخلية التي تستخدمها المجموعة.
لطالما كانت مجموعة “لازاروس” واحدة من أكثر الجهات الفاعلة في مجال التهديدات السيبرانية استمراراً ودفعاً مالياً لصالح كوريا الشمالية. ومع ذلك، تمثل HexagonalRodent تحولاً في النهج، حيث بدلاً من استهداف منصات تداول العملات المشفرة الكبيرة بعمليات اختراق معقدة، تنفذ هذه المجموعة الفرعية هجمات انتهازية عالية الحجم ضد مطورين فرديين.
يفسر هذا الأسلوب نجاح المجموعة، إذ أن العديد من مشاريع Web3 الصغيرة والمستثمرين الأفراد يمتلكون أصولاً رقمية كبيرة ولكنهم يفتقرون إلى حماية أمنية قوية. تندمج البرمجيات الخبيثة التي تستخدمها المجموعة، والمكتوبة بلغات NodeJS و Python، بشكل طبيعي مع أدوات البرمجيات التي يستخدمها المطورون يومياً، مما يصعب اكتشافها على الأجهزة الشخصية.
اكتسبت الحملة مزيداً من الاهتمام عندما اكتشف الباحثون أن HexagonalRodent نجحت في تنفيذ هجوم سلسلة توريد في أوائل عام 2026. فقد تم اختراق امتداد VSCode شائع يسمى “fast-draft” واستخدامه لتوزيع برمجية OtterCookie الخبيثة. كان هذا أول تأكيد لهجوم سلسلة توريد تنفذه هذه المجموعة الفرعية، مما يشير إلى توسيع المجموعة لطرق هجومها وتزايد ثقتها التقنية.
الآلية الداخلية للإصابة
تعتمد آلية الإصابة الأساسية على ميزة مدمجة في VSCode، أحد أشهر محررات الأكواد التي يستخدمها المطورون حول العالم. يقوم المهاجمون بتضمين ملف إعداد مهام ضار (tasks.json) داخل مشروع التقييم البرمجي الذي يرسلونه إلى الهدف.
يسمح هذا الملف لـ VSCode بتشغيل مهام آلية عند وقوع أحداث معينة في المحرر. يقوم المهاجمون بتهيئة الملف بأمر “runOn:folderOpen”، مما يعني أن البرمجية الخبيثة تُنفذ بمجرد أن يفتح المطور مجلد المشروع في VSCode، دون الحاجة إلى النقر على أي شيء مشبوه أو تشغيل أي كود يدوياً.
لا يتوقف دور البرمجية الخبيثة عند هذا الحد. فالملفات المصدر الفعلية داخل التقييم تحتوي أيضاً على وظائف خبيثة مخفية مصممة للعمل عندما يقوم المطور بتشغيل الكود بشكل طبيعي. يعمل هذا كمسار إصابة ثانوي للمطورين الذين لا يستخدمون VSCode، أو في الحالات التي تم فيها تعطيل المهام الآلية. مجتمعة، تغطي هاتان الطريقتان مجموعة واسعة من السيناريوهات وتزيد بشكل كبير من احتمالية نجاح الإصابة بغض النظر عن كيفية فتح المطور للمشروع.
بمجرد الدخول إلى النظام، تبدأ عائلة البرامج الخبيثة المعروفة باسم BeaverTail في استخلاص بيانات الاعتماد من متصفحات الويب، و Keychain الخاص بنظام macOS، و Keyring الخاص بنظام Linux، ومديري كلمات المرور مثل 1Password.
يعمل مكون ثانٍ يسمى OtterCookie كواجهة وصول عن بعد (reverse shell)، مما يمنح المهاجم وصولاً مباشراً عن بعد. أداة ثالثة، InvisibleFerret، المكتوبة بلغة Python، تعمل أيضاً كواجهة وصول عن بعد. أكد باحثو Expel من خلال تحليل لوحات C2 المكشوفة للمجموعة أن هذه الأدوات تعمل معاً، حيث تتولى BeaverTail سرقة بيانات الاعتماد، بينما تدير OtterCookie الوصول المستمر للنظام.
ينصح خبراء الأمن و Expel بشدة المطورين باتخاذ الاحتياطات التالية لحماية أنفسهم من هذا النوع من الهجمات:
- لا تقم أبداً بتشغيل كود مستلم من مصادر غير معروفة، حتى كجزء من مقابلة عمل، قبل مراجعة كل ملف في المشروع، بما في ذلك الملفات التكوينية المخفية مثل tasks.json.
- قم بتعطيل تنفيذ المهام التلقائي في VSCode ضمن الإعدادات لمنع تشغيل المهام عند فتح مجلد.
- استخدم أدوات تدقيق الأكواد المدعومة بالذكاء الاصطناعي لمسح أي كود مصدر للتقييم بحثاً عن وظائف غير عادية أو اتصالات شبكة مشبوهة قبل تنفيذه.
- استخدم رموز الأمان المادية لمححافظ العملات المشفرة، حيث أكد تحقيق Expel أن المحافظ المحمية برموز الأمان كانت أصعب بكثير في استنزافها للمهاجمين.
- تحقق من هويات مسؤولي التوظيف بشكل مستقل عن طريق التحقق من الموقع الرسمي للشركة والتواصل معهم عبر قنوات موثوقة قبل قبول أي مهمة برمجية.
- راقب عمليات NodeJS أو Python غير المتوقعة التي تقوم باتصالات TCP خارجية مستمرة، والتي قد تشير إلى نشاط نشط لـ BeaverTail أو OtterCookie على النظام.