كشف تقرير أمني حديث عن حملة تصيد احتيالي متطورة يشنها فريق Lazarus Group، المرتبط بكوريا الشمالية، تستهدف المطورين في مجال العملات المشفرة من خلال استغلال منصات التطوير الشهيرة. تسمى هذه العملية “Graphalgo”، وتعتمد على عروض عمل وهمية لتوزيع برمجيات خبيثة.
بدأت هذه الحملة المركزة منذ مايو 2025، حيث تستغل العروض الوظيفية المزيفة لنشر برامج تجسس عن بعد (RATs) على المطورين الذين يعملون على تقنيات البلوك تشين والعملات المشفرة. تستفيد هذه الهجمات من مستودعات حزم المصدر المفتوح الموثوقة مثل GitHub و npm و PyPI، محولة تدفقات العمل العادية للمطورين إلى نواقل للعدوى.
يقوم المهاجمون بالتواصل مع الضحايا المحتملين عبر منصات التواصل المهني مثل LinkedIn و Facebook، أو من خلال نشر إعلانات وظائف على منتديات المطورين كـ Reddit. تتمحور هذه الاستراتيجية النفسية حول فرص عمل في شركات وهمية تعمل في مجال البلوك تشين وتبادل العملات المشفرة، أبرزها شركة “Veltrix Capital”.
يتلقى الضحايا مهام اختبارات برمجية تبدو مشروعة، لكنها تحتوي على تبعيات خبيثة مخفية مصممة لاختراق أنظمتهم عند تشغيلها. ما يجعل هذه الحملة خطيرة بشكل خاص هو بنيتها المعيارية، التي تسمح لعناصر التهديد بالاستمرار حتى عند انكشاف أجزاء منها.
حملة Graphalgo: اختراق مطوري العملات المشفرة
تم اكتشاف هذا الفرع الجديد من حملة التوظيف الوهمي من قبل باحثين في ReversingLabs، الذين أطلقوا عليه اسم “Graphalgo” نسبة إلى أول حزمة خبيثة تم اكتشافها في مستودع npm. كشف تحليلهم أن حزمة npm باسم “bigmathutils” شهدت أكثر من 10,000 تنزيل قبل إصدار نسخة مسلحة، مما يدل على صبر يميز العمليات التي ترعاها الدول.
آلية الإصابة وتسليم الحمولة متعددة المراحل
تبدأ عملية الإصابة عندما يتلقى المطورون مهام مقابلة عمل عبر مستودعات GitHub التي تسيطر عليها الشركات الوهمية. تحتوي هذه المستودعات على مهام برمجية لوظائف DevOps أو Blockchain. ومع ذلك، يتم تضمين تبعيات داخل ملفات المشروع تشير إلى حزم مخترقة مستضافة على مستودعات npm و PyPI.
عندما يقوم الضحايا بتشغيل أو تصحيح رمز المقابلة، يقوم مديرو الحزم بتثبيت هذه التبعيات الخبيثة تلقائيًا. تتضمن الحزم طبقات تشفير متعددة وحمولات مشفرة تقوم بتنزيل برمجيات خبيثة من المرحلة الثانية من خوادم القيادة والتحكم (C2).
تتوافق هذه الآلية مع الأنماط المعروفة لمجموعات التهديد الكورية الشمالية، مما يعزز الانتماء إلى Lazarus Group. يشير وجود الطوابع الزمنية بالتوقيت المحلي GMT+9 في التزامات git والهندسة الاجتماعية التي تركز على العملات المشفرة إلى تصرفات اعتيادية لهذه المجموعة.
الحمولة النهائية هي برنامج تحكم عن بعد (RAT) كامل الوظائف، قادر على تنفيذ أوامر عشوائية، وتحميل الملفات، وسرد العمليات، والتحقق من وجود إضافة متصفح MetaMask – مما يدل على اهتمام بسرقة أموال العملات المشفرة. تم التعرف على ثلاث إصدارات لـ RAT، مكتوبة بلغات JavaScript و Python و Visual Basic Script. يتواصل البرمجيات الخبيثة مع خوادم C2 باستخدام مصادقة محمية بالرموز (tokens)، مما يمنع باحثي الأمن من تحليل استجابات الخادم.