تواصل جهات تهديد كورية شمالية، معروفة بحملة “المقابلة المعدية” (Contagious Interview)، ابتكار أساليبها في توزيع البرمجيات الخبيثة، حيث لجأت مؤخراً إلى استخدام خدمات تخزين ملفات JSON لاستضافة ونشر حمولاتها الضارة. يأتي هذا التطور كجزء من استراتيجية مستمرة لاختراق مطوري البرمجيات وسرقة البيانات الحساسة.
ويشير محللون إلى أن هذه التحركات تعكس محاولات مستمرة لتوسيع نطاق الاختراقات، مستهدفةً مطوّري البرمجيات الذين قد يمتلكون معلومات ذات قيمة. استخدام المصادر الموثوقة يعزز من قدرة الجهات المهاجمة على العمل بخفية.
أنماط جديدة في حملة “المقابلة المعدية”
كشف تقرير حديث لشركة NVISO عن استخدام الجهات الفاعلة وراء حملة “المقابلة المعدية” لخدمات تخزين JSON، مثل JSON Keeper و JSONsilo و npoint.io، كوسيلة لاستضافة البرمجيات الخبيثة. يتم ذلك من خلال مشاريع تحتضن تعليمات برمجية مصابة، مع إغراء هدفه.
تتضمن حملة “المقابلة المعدية” عادةً التواصل مع أهداف محتملة عبر منصات التواصل المهني، مثل LinkedIn. يتم ذلك بذريعة إجراء تقييم وظيفي أو التعاون في مشروع، حيث يُطلب من الضحية تحميل مشروع تجريبي مستضاف على منصات مثل GitHub أو GitLab أو Bitbucket.
آلية الاستهداف الحديثة
في أحد المشاريع التي تم رصدها، وجد الباحثون أن ملفاً باسم “server/config/.config.env” يحتوي على قيمة مشفرة بـ Base64. تبدو هذه القيمة كمفتاح واجهة برمجية (API key)، إلا أنها في الواقع عبارة عن رابط لخدمة تخزين JSON. هذا الرابط يؤدي إلى الحمولة الخبيثة في صيغة مبهمة.
الحمولة المستهدفة هي برمجية خبيثة تعتمد على JavaScript، معروفة باسم BeaverTail. تتمتع هذه البرمجية بالقدرة على جمع البيانات الحساسة، ومن ثم إسقاط باب خلفي بلغة Python يُدعى InvisibleFerret.
تحديثات الحمولة الخلفية
مع بقاء الوظائف الأساسية للباب الخلفي InvisibleFerret متوافقة مع ما وثقته شركة Palo Alto Networks سابقاً، لوحظ تحديث هام. يشمل هذا التحديث جلب حمولة إضافية تُعرف بـ TsunamiKit من منصة Pastebin.
يُشار إلى أن استخدام TsunamiKit ضمن حملة “المقابلة المعدية” قد تم تسليط الضوء عليه من قبل شركة ESET في سبتمبر 2025. تضمنت الهجمات أيضاً إسقاط أدوات مثل Tropidoor و AkdoorTea. boasts this toolkit “قدرات على بصمات النظام، وجمع البيانات، وجلب حمولات إضافية من عنوان .onion ثابت، وهو غير متاح حالياً.
أهداف الجهات الفاعلة
وأوضح الباحثون أن الجهات المهاجمة وراء حملة “المقابلة المعدية” تسعى جاهدة لتوسيع نطاق تأثيرها، بهدف اختراق أي مطور برمجيات قد يبدو لهم مثيراً للاهتمام. ينتج عن ذلك غالباً استخلاص بيانات حساسة ومعلومات متعلقة بالمحافظ الرقمية.
ويمثل استخدام مواقع شرعية مثل JSON Keeper و JSON Silo و npoint.io، إلى جانب مستودعات الأكواد مثل GitLab و GitHub، دليلاً على دوافع الجهات الفاعلة ومحاولاتها المستمرة للعمل بخفية والاندماج مع حركة المرور الطبيعية. هذا يشكل تحدياً مستمراً لخبراء الأمن السيبراني.