كشفت تقارير أمنية حديثة عن حملة تجسس إلكتروني متطورة يقودها فريق اختراق كوري شمالي يُعرف باسم “Void Dokkaebi”، والذي استهدف المطورين عبر استغلال مقابلات العمل الوهمية لنشر برمجيات خبيثة. تستخدم هذه الحملة، التي رصدها باحثون في مجال الأمن السيبراني، طرقاً مبتكرة لزرع التهديدات داخل مستودعات الأكواد المعروفة، مما يشكل خطراً متزايداً على أمن المعلومات.
تعتمد الحملة على استدراج المطورين لنسخ (clone) مستودعات أكواد مصابة كجزء من اختبارات التقييم الفنية المزيفة، حيث تتحول أجهزتهم ومشاريعهم إلى أدوات لنشر البرمجيات الخبيثة. وقد أدت هذه الاستراتيجية إلى انتشار واسع النطاق، مما استدعى تضافر الجهود لمواجهة التهديدات السيبرانية المتجددة.
حملة Void Dokkaebi: المقابلات الوهمية لاختراق المطورين
تبدأ التهديدات بتواصل احترافي مزيف، حيث ينتحل المهاجمون صفة مسؤولي توظيف في شركات مرموقة تعمل في مجالات التكنولوجيا المتقدمة، مثل العملات الرقمية والذكاء الاصطناعي. يتواصلون مع المطورين عبر منصات مهنية رائدة، مقدمين لهم فرص عمل واعدة.
خلال المقابلات الوهمية، يُطلب من المطور المستهدف نسخ مستودع أكواد من منصات مثل GitHub أو GitLab أو Bitbucket. يتم تقديم هذا الإجراء كجزء من اختبار تقني للتحقق من مهاراتهم في البرمجة. وتبدو هذه المستودعات في ظاهرها مشاريع قانونية، إلا أنها تحتوي على تعليمات برمجية خبيثة مخفية تعمل فور فتح مجلد المشروع.
تكمن خطورة هذه الحملة في آلية انتشارها اللاحقة. فالمهاجمون لا يكتفون باختراق مطور واحد، بل يستخدمون جهاز الضحية ومستودعاته لنشر العدوى إلى موجة أخرى من المطورين. هذا يخلق سلسلة تشبه عمل “الديدان” الإلكترونية، تنتشر عبر المؤسسات دون الحاجة إلى هندسة اجتماعية إضافية.
آلية الإصابة وانتشار البرمجيات الخبيثة
تتضمن الحملة آليتين أساسيتين تعملان معًا. الآلية الأولى تستغل ملفات مساحة عمل Visual Studio Code، وتحديداً الملف المخفي `.vscode/tasks.json`. يتم إعداده ليعمل تلقائياً بمجرد فتح المطور للمشروع. عند موافقة المطور على وثوق مساحة العمل، يتم تنفيذ المهمة الخبيثة دون تفاعل إضافي، وتقوم بتحميل برمجية خبيثة (backdoor) من رابط عن بعد أو تشغيل ملف مشابه داخل المستودع.
أما الآلية الثانية، فهي أكثر مباشرة. بعد الوصول عن بعد إلى جهاز المطور، يتم حقن تعليمات برمجية JavaScript مبهمة في ملفات المصدر الخاصة بالمطور. يتم إخفاء هذه التعليمات البرمجية باستخدام مسافات بيضاء في نهاية السطر، مما يجعلها غير مرئية أثناء المراجعات السريعة. وتعمل هذه الممارسات على تسهيل الانتشار الواسع لتلك البرمجيات الخبيثة.
تقوم الأداة الخبيثة بنسخ اسم المؤلف الأصلي، والطابع الزمني، ورسالة الـ “commit” لتظهر وكأنها عملية شرعية قبل إعادة كتابة الـ “commit” بقوة. هذا التكتيك يجعل اكتشاف التغييرات الخبيثة أكثر صعوبة، ويعزز قدرة المهاجمين على البقاء مخفيين.
البرمجية الخبيثة المستخدمة هي نسخة من برنامج DEVSPOPPER للوصول عن بعد (RAT)، وهو أداة متعددة الأنظمة تعتمد على Node.js. تتواصل مع خادم القيادة والتحكم (C2) عبر WebSocket وتستخدم HTTP لسرقة الملفات. يسمح نظام الجلسات المتعدد للمهاجمين بالعمل على جهاز مخترق واحد في نفس الوقت، مما يزيد من فعالية الهجوم.
من الجدير بالذكر أن هذه البرمجية الخبيثة قادرة على اكتشاف وتجنب بيئات التكامل المستمر والتسليم المستمر (CI/CD) وبيئات الاختبار السحابية. فهي تعمل فقط على أجهزة المطورين الحقيقية، مما يضمن عدم اكتشافها بواسطة عمليات الفحص الآلية لخطوط الأنابيب.
التوصيات الأمنية لمواجهة تهديدات Void Dokkaebi
يمكن للمطورين والمؤسسات اتخاذ خطوات لتقليل تعرضهم لهذه التهديدات. ينصح دائماً بتشغيل الأكواد المقدمة في مقابلات العمل داخل بيئات معزولة أو أجهزة افتراضية يمكن تدميرها بعد الانتهاء من الجلسة، وعدم تنفيذها أبداً على الأجهزة الشخصية أو أجهزة الإنتاج.
يجب إضافة `.vscode/` إلى ملف `.gitignore` لجميع مستودعات المؤسسات لمنع الانتشار السلبي. كما يُنصح بفرض التوقيع على الـ “commits” باستخدام GPG أو SSH، مع تفعيل حماية الفروع وطلب مراجعة الـ Pull Requests لإيقاف أدوات تعديل الـ “commits”.
يجب على فرق الأمن مراجعة الأكواد بحثاً عن علامات الإصابة، والتحقق من وجود ملفات مثل `temp_auto_push.bat`. كما يُعد رصد الاتصالات الصادرة إلى نقاط نهاية واجهات برمجة تطبيقات البلوك تشين، مثل `api.trongrid.io` ونقاط نهاية Binance Smart Chain RPC، من أجهزة المطورين أمراً ضرورياً.
لا غنى عن الكشف على مستوى نقطة النهاية (Endpoint-level detection) على أجهزة المطورين، نظراً لأن برامج RATs تتجنب بيئات CI/CD بطبيعتها. تساهم هذه الإجراءات الوقائية في تعزيز المرونة الأمنية ضد البرمجيات الخبيثة المتطورة.