كشفت تقارير أمنية حديثة عن حملة تجسس خبيثة جديدة تستهدف المطورين عبر مستودعات الحزم مفتوحة المصدر npm و Python Package Index (PyPI)، حيث تشير التحقيقات إلى تورط مجموعة لازاروس (Lazarus Group) الكورية الشمالية في هذه الهجمات. تندرج هذه الحملة، التي تم رصدها النشطة منذ مايو 2025، ضمن تكتيكات المجموعة في استغلال الفرص الوظيفية لخداع ضحاياها.
يأتي اكتشاف هذه الحزم الخبيثة في وقت يتزايد فيه الاعتماد على المصادر المفتوحة كبنية تحتية حيوية للتطوير البرمجي. يسلط التحقيق الضوء على مدى تطور أساليب التهديد السيبراني، خاصة من قبل الجهات المدعومة من الدول، وقدرتها على التغلغل عميقاً في سلاسل التوريد البرمجية.
حملة التوظيف الوهمي: ستار لمخاطر الأمن السيبراني
تعتمد الحملة، المسماة “graphalgo” نسبةً إلى أول حزمة تم نشرها، على استقطاب المطورين من خلال منصات التواصل الاجتماعي الشهيرة مثل LinkedIn و Facebook، أو عبر إعلانات وظيفية منشورة في منتديات مثل Reddit. يقوم المهاجمون بإنشاء قصة متقنة حول شركة وهمية تعمل في مجال تداول العملات المشفرة والبلوك تشين، بهدف بناء الثقة قبل تنفيذ عملياتهم.
الآلية المتبعة وخداع المطورين
يتم استهداف المطورين عبر عروض وظيفية وهمية، حيث يتم توجيه المرشحين لتقييم مشاريع برمجية معروضة على منصات مثل GitHub. إلا أن الخطر لا يكمن في هذه المشاريع بحد ذاتها، بل في الاعتماديات (dependencies) الخبيثة المضمنة في حزم أخرى متوفرة على مستودعات npm و PyPI. عند محاولة تشغيل هذه المشاريع، يقوم النظام تلقائياً بتنزيل وتشغيل الحزم الخبيثة، مما يفتح الباب أمام المهاجمين.
أحد الأمثلة البارزة على ذلك هو حزمة npm المسماة “bigmathutils”، التي استقطبت أكثر من 10,000 عملية تنزيل بعد إصدار نسختها الأولى غير الخبيثة، قبل أن يتم استبدالها بنسخة تحتوي على حمولة خبيثة.
اختراق الأنظمة والوصول عن بعد
تعمل الحزم الخبيثة بشكل أساسي كقناة لتثبيت برمجيات خبيثة من نوع (RAT) – حصان طروادة للوصول عن بعد. يسمح هذا النوع من البرمجيات للمهاجم بتنفيذ أوامر على الجهاز المستهدف عن بعد، وجمع معلومات حساسة عن النظام، وإنشاء مجلدات، وإعادة تسمية أو حذف الملفات، بالإضافة إلى القدرة على رفع وتنزيل الملفات.
ما يزيد من تعقيد الهجوم هو استخدام آلية قائمة على رموز (tokens) لتأمين الاتصال بخادم القيادة والتحكم (C2). هذه الآلية، التي تم ملاحظتها سابقاً في حملات مرتبطة بمجموعة Jade Sleet (المعروفة أيضاً باسم TraderTraitor أو UNC4899)، تضمن أن الطلبات المستقبلية من الأنظمة المصابة يتم قبولها بشكل حصري عند مطابقتها مع رمز مصرح به.
نوايا كوريا الشمالية واستغلال السلسلة البرمجية
تشير الأدلة إلى أن الجهات الفاعلة المدعومة من كوريا الشمالية تواصل استهداف المنظومات البرمجية مفتوحة المصدر بهدف سرقة البيانات الحساسة وتنفيذ عمليات احتيال مالي. يدل ذلك على فحص برمجيات RAT لوجود إضافة MetaMask للمتصفحات، وهي محفظة عملات مشفرة شائعة، مما يعزز فرضية ارتباط الهجمات بالاستهداف المالي.
يرى خبراء الأمن السيبراني أن هذه الحملة تمثل مستوى عالياً من التعقيد، بفضل قابليتها للتكيف، وصبرها في بناء الثقة، وتعدد طبقات التشفير المستخدمة في البرمجيات الخبيثة. كل هذه العوامل تشير بوضوح إلى تورط جهة حكومية.
اكتشافات إضافية لحزم npm خبيثة
يأتي هذا الكشف في الوقت الذي اكتشفت فيه شركة JFrog حزمة npm خبيثة أخرى باسم “duer-js”، تدعي أنها أداة لتحسين عرض نافذة الأوامر، لكنها في الواقع تحتوي على برنامج “Bada Stealer” المصمم لسرقة المعلومات من أنظمة ويندوز.
هذه الحزمة قادرة على سرقة رموز Discord، وكلمات المرور، وملفات تعريف الارتباط، وبيانات الملء التلقائي من متصفحات متعددة، بالإضافة إلى تفاصيل محافظ العملات المشفرة وبيانات النظام. يتم بعد ذلك إرسال هذه البيانات إلى خادم Discord webhook، مع نسخة احتياطية على خدمة تخزين الملفات Gofile.
حملة XPACK ATTACK: استغلال رمز الدفع لابتزاز المطورين
بالتزامن مع هذه الاكتشافات، تم رصد حملة برمجية خبيثة أخرى تستغل مستودعات npm لابتزاز مدفوعات بالعملات المشفرة من المطورين. أطلق على هذه الحملة اسم “XPACK ATTACK”، وتعتمد على استغلال رمز الحالة HTTP 402 “Payment Required” لإنشاء حاجز دفع وهمي.
تمنع هذه الحملة تثبيت الحزمة ما لم يقوم الضحية بدفع مبلغ محدد بعملة USDC/ETH إلى محفظة المهاجم، مع جمع أسماء المستخدمين في GitHub وبصمات الأجهزة. إذا رفض المطور الدفع، يتم ببساطة فشل عملية التثبيت، مما قد يدفع المطور للاعتقاد بأنها مشكلة تقنية بدلاً من كونها محاولةابتزاز.