يشن قراصنة كوريون شماليون حملة تصيد احتيالي متطورة تستهدف مطوري البرمجيات عبر عروض توظيف وهمية، تعرف هذه الحملة باسم “مقابلة معدية” (Contagious Interview).
تستخدم الحملة مستودعات خبيثة مصممة كاختبارات تقييم فني لنشر نظام برمجيات خبيثة مزدوج الطبقات. يتم استدراج الضحايا عبر رسائل على موقع لينكد إن من موظفي توظيف وهميين يدعون تمثيل منظمات مثل “ميتا 2140” (Meta2140)، ويوجهونهم لتنزيل مستودعات تحتوي على شفرات خبيثة مخفية.
حملة “مقابلة معدية”: كيف يعمل التهديد الكوري الشمالي
تتم عملية الهجوم عبر مراحل عديدة، حيث يعمل البرنامج الخبيث على سرقة البيانات الحساسة، بما في ذلك بيانات الاعتماد، ومحافظ العملات المشفرة، بالإضافة إلى إنشاء وصول عن بعد دائم على أنظمة الضحايا. تعتمد هذه الأساليب على تقنيات مبتكرة لضمان الإصابة حتى مع حرص المطورين.
يستخدم البرنامج الخبيث عدة طرق للإصابة، وأكثرها خطورة هو استخدام إعدادات مهام (Tasks) مخفية في “فيجوال ستوديو كود” (VS Code). عندما يفتح المطورون مجلد المشروع لمراجعة الشفرات أو تمكين الفحص بمساعدة الذكاء الاصطناعي، يتم تنفيذ مهمة مخفية تلقائيًا دون الحاجة لتنفيذ مباشر للشفرة.
من جهة أخرى، تستغل طريقة إصابة أخرى خطافات منطق التطبيق (Application Logic Hooks) المضمنة في شفرة الخادم، حيث تقوم وظائف تبدو شرعية بتنزيل وتنفيذ الحمولة الخبيثة. وفي حال فشل هاتين الطريقتين، يحاول الهجوم تثبيت تبعية npm خبيثة (Malicious npm Dependency).
البحث والتحقيق في الحملة
اكتشف باحثون أمنيون في SEAL Intel الحملة وحللوها بعد أن طلب ثلاثة ضحايا المساعدة في غضون شهر واحد فقط. جميع الضحايا تعرضوا لأنماط هجوم متشابهة وأبلغوا عن خسائر مالية كبيرة.
من خلال فحص تاريخ الالتزامات (Commit History) والبيانات الوصفية (Metadata)، اكتشف الباحثون أن مصدر البرمجيات الخبيثة يعود لعاملين في مجال تكنولوجيا المعلومات من كوريا الشمالية، والذين سبق لهم تشغيل مشاريع احتيالية مثل “ألترا-إكس” (Ultra-X). وأكدت الطوابع الزمنية للالتزامات استمرار استخدام المنطقة الزمنية القياسية للكوريا، مما يعزز الانتماء.
آلية الإصابة والانتشار
تعمل آلية الإصابة على مراحل واضحة. عند تفعيلها، يقوم البرنامج الخبيث بتنزيل وحدة تحكم (Controller) تعمل بلغة Node.js، والتي تنفذ بالكامل في ذاكرة النظام. تقوم هذه الوحدة بنشر خمس وحدات متخصصة لسرقة البيانات الحساسة.
تشمل هذه الوحدات وحدة لتسجيلات ضربات المفاتيح (Keylogger) والتقاطعات (Screenshots) لمراقبة نشاط المستخدم وتحميل النتائج إلى خادم القيادة (Command Server) الخاص بالمهاجم. وحدة أخرى هي “ملتقط الملفات” (File Grabber) التي تبحث في الدليل الرئيسي عن ملفات الإعدادات، الأسرار، ومفاتيح SSH. كما تراقب وحدة “منظف الحافظة” (Clipboard Monitor) عناوين محافظ العملات المشفرة، بينما تستهدف وحدة “سارق المتصفح” (Browser Stealer) قواعد بيانات المتصفحات مثل “كروم” (Chrome) و”برايف” (Brave) و”أوبرا” (Opera) التي تحتوي على بيانات الاعتماد ومعلومات المحافظ.
أخيراً، تقوم أداة الوصول عن بعد (Remote Access Tool) بالاتصال بمركز قيادة المهاجم باستخدام Socket.IO، مما يسمح بتنفيذ أوامر shell عشوائية. يلي مرحلة Node.js، نشر البرنامج الخبيث لحمولات (Payloads) مكتوبة بلغة Python تعزز الثبات (Persistence) وتصعب عملية الإزالة.
استراتيجيات الثبات للبقاء على النظام
في أنظمة ويندوز تحديداً، يقوم البرنامج الخبيث بإنشاء حقن في مجلدات بدء التشغيل (Startup Folders) ومهام مجدولة (Scheduled Tasks) تحاكي عمليات ويندوز شرعية مثل RuntimeBroker.exe. تتضمن إحدى الوحدات المكتشفة تنزيل برنامج التعدين الخاص بالعملات المشفرة XMRig.
عبر مراحل التنفيذ، ينشئ البرنامج الخبيث مجلدات مخفية في مجلدات .npm ومجلدات النظام الأخرى لتخزين البيانات المسروقة والاحتفاظ بقاعدة الإصابة عبر عمليات إعادة التشغيل. للحماية من هذه الهجمات، يُنصح المطورون بتعطيل التنفيذ التلقائي لمهام VS Code وتمكين التحقق من الثقة في مساحة العمل (Workspace Trust). الأنظمة التي تظهر عليها علامات الإصابة، مثل المجلدات المخفية .n2 أو .n3 أو .npm، تتطلب تغيير شامل لبيانات الاعتماد ونقل محافظ العملات المشفرة إلى عناوين جديدة من أجهزة نظيفة. الأنظمة المصابة على ويندوز تتطلب إعادة تثبيت كاملة لنظام التشغيل بسبب آليات الثبات على مستوى السجل (Registry).