أطلقت مجموعة لازاروس الكورية الشمالية حملة هجمات إمداد متطورة تستهدف مطوري البرمجيات، مستغلةً أدوات التطوير الشائعة لخداعهم. تركز هذه الحملة، التي أطلق عليها اسم “Fake Font” (الخط المزيف)، على استدراج المطورين لتنزيل أكواد تحتوي على برمجيات خبيثة، مما يهدد أمن البيانات والأنظمة.
بدأت الحملة منذ أكثر من 100 يوم، وشهدت مؤخراً تكثيفاً في أنشطتها، حيث تم تحديد 19 مستودعاً (repository) على منصة GitHub كجزء من هذه العملية. الهدف النهائي لهذه البرمجيات الخبيثة هو نشر باب خلفي يعرف باسم InvisibleFerret، وهو مصمم لسرقة محافظ العملات المشفرة، وبيانات اعتماد المتصفح، وإنشاء وصول طويل الأمد إلى الأجهزة المخترقة.
تعتمد الحملة على استراتيجية هندسة اجتماعية دقيقة، تبدأ على منصة LinkedIn. يتواصل المحتالون، الذين ينتحلون صفة موظفي توظيف في شركات العملات المشفرة والتكنولوجيا المالية، مع المطورين المستهدفين. غالباً ما يبدأون بتعبيرهم عن إعجابهم بملف المطور على GitHub، ثم يطلبون منه إكمال تقييم برمجي بسيط.
يتم بعد ذلك إرسال روابط إلى مستودعات تبدو مشروعة تماماً. تحتوي هذه المستودعات على هياكل مشاريع ويب قياسية، تتضمن واجهات أمامية مكتوبة بلغة React، وخلفيات Node.js، ووثائق شاملة، وتكوينات لأنظمة التكامل المستمر والتوزيع المستمر (CI/CD). هذا المظهر الأصيل يجعل من الصعب التمييز بين المستودعات الخبيثة والمشاريع الحقيقية في البداية.
آلية عمل حملة الخط المزيف
كشف محللو OpenSourceMalware عن تفاصيل آلية عمل الحملة. تستغل هذه الهجمات ميزة أتمتة المهام في بيئة تطوير Microsoft Visual Studio Code، وهي ميزة يستخدمها المطورون بشكل شائع لتشغيل الاختبارات وبناء المشاريع. يتم إخفاء ملف “.vscode/tasks.json” داخل كل مستودع خبيث، وهذا الملف مُعد لتنفيذه تلقائياً عند فتح المجلد في VS Code.
آلية الإصابة
تعتمد آلية الإصابة على إخفاء برمجيات جافا سكريبت الخبيثة كملفات خطوط ويب بامتداد “.woff2”. عندما يقوم المطور بفتح المستودع، يقوم VS Code تلقائياً بتنفيذ المهمة الخبيثة، والتي تقوم بتشغيل ملف الخط المزيف عبر Node.js. يؤدي ذلك إلى تشغيل مُحمّل متعدد المراحل، يقوم بتنفيذ البرمجية الخبيثة مع بقائها مخفية عن المستخدم.
تُستخدم إعدادات العرض في تكوين المهمة لإخفاء أي نوافذ إخراج، مما يجعل اكتشاف الهجوم صعباً للغاية. هذا الأسلوب يوضح مدى تطور الجهات الفاعلة في التهديدات، وقدرتها على التكيف مع طرق الكشف الأمنية.
ما يجعل هذه الحملة خطيرة بشكل خاص هو استغلالها للثقة الشرعية التي يضعها المطورون في مستودعات المصادر المفتوحة وأدوات التطوير. هيكل المستودع يبدو طبيعياً تماماً، حيث تتناسب ملفات الخط بشكل مثالي مع تخطيط المشروع المتوقع لتطبيقات الويب التي تستخدم أيقونات Font Awesome. لا يمتلك المطورون الذين يستنسخون هذه المستودعات لتقييم وظيفي أي مؤشرات مرئية على أنهم يقومون بتثبيت برمجيات خبيثة.
توضح الحملة كيف تواصل الجهات المهاجمة تطوير تقنياتها لتجاوز الإجراءات الأمنية. من خلال تجميع الهندسة الاجتماعية، وثغرات سلسلة الإمداد، وميزات خاصة بالأدوات، تنجح مجموعة لازاروس في استهداف فئة عالية القيمة من المستخدمين الذين يمتلكون صلاحيات الوصول إلى أنظمة حساسة وأصول كبيرة من العملات المشفرة.
يُنصح فرق الأمن بمراجعة الوصول إلى مستودعات GitHub وتكوينات VS Code بشكل فوري عبر مؤسساتهم للكشف عن أي اختراقات محتملة ناتجة عن هذه الحملة. إن اليقظة المستمرة والتحديثات الأمنية الدورية ضرورية لمواجهة مثل هذه التهديدات المتطورة.