كشفت تقارير أمنية حديثة عن نشاط متزايد لمجموعات تهديد سيبراني مرتبطة بكوريا الشمالية، تستخدم تكتيكات مبتكرة لتسلل العاملين في مجال تكنولوجيا المعلومات ضمن شركات غربية. يهدف هذا التحرك، الذي يشمل حملات توظيف وهمية، إلى سرقة بيانات حساسة وتمويل النظام الكوري الشمالي.
يُعرف هذا النمط من الهجمات باسم “المقابلة المعدية – Contagious Interview”، ويستهدف مطوري البرمجيات منذ عام 2022 على الأقل. تستغل هذه المجموعات ملفات تعريف وظيفية مقنعة على منصات التواصل المهني، وتدفع الضحايا لتشغيل أوامر برمجية خبيثة تحت ستار مهام تقنية تدريبية، مما يمكّنها من الوصول غير المصرح به.
مخاطر مرتبطة بتهديدات كوريا الشمالية
تقوم هذه الجهات الفاعلة ببناء ملفات تعريف احترافية تبدو حقيقية، تتواصل مع المطورين المستهدفين، وتقترح عليهم مهام برمجية كجزء من عملية الفحص التقني. وبمجرد أن يقوم المطور بتشغيل الكود المقدم، يتم تثبيت برمجيات خبيثة تعمل في الخلفية دون علمه.
تستخدم هذه البرمجيات عائلات تعرف باسم BeaverTail و OtterCookie، والتي تتيح للمهاجمين سرقة بيانات الاعتماد، والتحكم عن بعد في الأجهزة، وتنفيذ عمليات احتيال مالي وسرقة هوية. وتشير التقديرات إلى أن هذه الحملة أثرت على آلاف المطورين وتشهد نمواً مستمراً في حجمها.
إضافة إلى ذلك، تعمل مجموعات أخرى من كوريا الشمالية على اختراق شركات تكنولوجيا غربية، حيث يتخذ أفرادها مواقع موظفين احتياليين داخل هذه الشركات، ويحصلون على رواتب تساهم في تمويل النظام. وقد قامت GitLab، وهي منصة تعاون للمطورين، بحظر 131 حساباً مرتبطاً بهذه الحملات في عام 2025.
آليات العمل الخبيث
يشير تحليل نشاط هذه المجموعات إلى أنها غالباً ما تخفي البرمجيات الخبيثة في خدمات خارجية مثل Vercel، بدلاً من تحميلها مباشرة على منصات مثل GitLab. هذا الأسلوب يجعل اكتشاف الحمولة الكاملة أكثر صعوبة على فرق الأمن.
وصلت ذروة النشاط في سبتمبر 2025، بمتوسط 11 حساباً يتم حظرها شهرياً. وتُظهر التقارير أن أكثر من 80% من الحالات لم تستضف البرمجيات الخبيثة مباشرة على GitLab، بل تم وضع “حملة إقلاع” مخفية تسحب الأجزاء النهائية من خدمات طرف ثالث.
من جهة أخرى، كشف تحليل مستودع خاص تابع لأحد المديرين لهذه العمليات، ويدعى كيل-نام كانغ، عن كسب الخلية التي يديرها أكثر من 1.64 مليون دولار أمريكي بين الربع الأول من عام 2022 والربع الثالث من عام 2025، وذلك من خلال العمل كمطورين مستقلين بهويات مسروقة أو مزيفة.
أساليب التشفير والإخفاء
في عام 2025، تم رصد نمط شائع لتوزيع الشفرة الخبيثة عبر ملفات متعددة داخل مشاريع البرمجة، مما يجعل من الصعب اكتشافها حتى مع المراجعة الدقيقة للكود. غالباً ما يتم تشفير عنوان URL الخاص بـ “حملة الإقلاع” داخل ملف .env، تحت ذريعة كونه متغير تكوين عادي.
عند تشغيل المشروع من قبل المطور، يقوم دالة محفزة بسحب المحتوى عن بعد، ثم يمرر هذا المحتوى إلى معالج أخطاء مخصص. يستخدم هذا المعالج الدالة `Function.constructor` في JavaScript لتنفيذ الحمولة التي تم تنزيلها ككود مباشر، مما يعزز قدرة البرمجية الخبيثة على العمل.
كما كانت عناوين URL الخاصة بـ “حملة الإقلاع” ترجع محتوى وهمياً إذا لم يتم تضمين رؤوس طلبات معينة، مما يضيف طبقة إضافية من الحماية ضد التحليلات الأمنية. وفي ديسمبر 2025، لاحظ المحللون مجموعة جديدة تنفذ برمجيات خبيثة من خلال مهام VS Code، وتقوم بفك تشفير حمولات مخفية من ملفات خطوط مزيفة.
تنصح الجهات الأمنية المنظمات بمعاملة المتقدمين للوظائف الذين يقدمون روابط غير مكتملة لملفاتهم المهنية أو نماذج أعمالهم كأمر مثير للشبهة. كما يجب على المطورين تجنب تشغيل أي كود غير مألوف من جهات اتصال غير معروفة أثناء عملية الفحص التقني. ويجب على فرق الأمن مراقبة الملفات .env بحثاً عن قيم مشفرة، وكذلك التحقق من أي طلبات صادرة غير متوقعة يتم تشغيلها عند بدء تشغيل التطبيق.