تطور برمجيات “نودل فايل” الخبيثة، التي تم الكشف عنها لأول مرة في مايو 2025، أساليب هجومها بشكل كبير لتجاوز إجراءات الأمان. كشفت تحليلات حديثة عن استخدام المحتالين لعمليات احتيال جديدة تستهدف الباحثين عن عمل.
في البداية، كانت هذه البرمجيات الخبيثة تتخفى خلف إعلانات مضللة لمنصات وهمية لتوليد الفيديو بالذكاء الاصطناعي على وسائل التواصل الاجتماعي، مما يخدع المستخدمين لتنزيل ملفات ZIP ضارة. كانت الحملات المبكرة تركز على جمع بيانات الاعتماد ومحافظ العملات المشفرة، والتي يتم نقلها لاحقًا عبر روبوتات تليجرام إلى المهاجمين.
تكتيكات “نودل فايل” الخبيثة الجديدة
في الآونة الأخيرة، حول الجهات الفاعلة في مجال التهديدات تركيزها للاستفادة من الطلب العالمي على العمل عن بعد. يستخدم المشغلون المرتبطون بالمجموعة الفيتنامية UNC6229 الآن إعلانات وظائف وهمية لاستهداف الباحثين عن عمل والطلاب والمسوقين الرقميين. تطبق هذه الهجمات عمليات تصيد احتيالي متطورة تظهر كاستمارات طلب وظيفة أو اختبارات تقييم مهارات لتوصيل برمجيات تجسس متعددة المراحل وأحصنة حصان الوصول عن بعد عبر تكتيكات تحميل DLL الجانبي.
بعد هذا التحول الاستراتيجي، حدد محللون في Morphisec تكتيكًا فريدًا للانتقام مدمجًا بعمق في الكود المحدث للبرمجيات الخبيثة. قام المطورون بحشو الملفات الضارة بملايين التكرارات لعبارة فيتنامية مبتذلة موجهة خصيصًا نحو شركة الأمن. تم تصميم هذا التضخم الهائل في الملفات لتعطيل أدوات التحليل الآلي القائمة على الذكاء الاصطناعي التي تعتمد على مكتبات تفكيك بايثون القياسية، مما يعيق بشكل فعال عمليات التحقيق الآلي في التهديدات.
بصرف النظر عن هذه الإضافات المسرحية، تواصل البرمجيات الخبيثة الاعتماد على روبوتات تليجرام لاتصالات القيادة والتحكم. يؤكد استمرار هذه الهجمات على الحاجة إلى زيادة الوعي بين المستخدمين الذين يتعاملون مع منصات التوظيف عبر الإنترنت. يعتبر الجمع بين الهندسة الاجتماعية والتهرب التقني تهديدًا قويًا للأمن الفردي والمؤسسي.
التكتيكات التقنية للتهرب والإخفاء
تتضمن أحدث إصدارات “نودل فايل” تحسينات تقنية متقدمة مصممة لتعقيد جهود الهندسة العكسية. طبق المطورون خوارزمية التجزئة الدوارة djb2 الكلاسيكية داخل شل كود محمل الدوال. تسمح هذه الطريقة خفيفة الوزن بدقة ديناميكية موثوقة لواجهات برمجة التطبيقات (APIs)، مما يجعل التحليل الثابت أكثر صعوبة بشكل كبير على المدافعين الذين يحاولون فهم سلوك الكود.
بالإضافة إلى ذلك، يقوم الملف الثنائي الآن بإجراء تحقق من صحة التوقيع المدمج. تكتشف آلية التحقق الذاتي الداخلية هذه محاولات التلاعب من قبل أدوات مكافحة التحليل أو التصحيح، مما ينهي التنفيذ إذا تم العثور على تعديلات.
لزيادة تأمين العمليات، أضاف المهاجمون طبقة من تشفير RC4 لحماية ملف القيادة، المسمى بشكل خاص “Chingchong.cmd”، مما يحجب محتوياته عن الفحص الفوري. أخيرًا، ابتعد المهاجمون عن النصوص الواضحة، مستخدمين ترميز XOR لإخفاء البيانات المرئية سابقًا. هذه التقنية تتجاوز بفعالية قواعد الكشف البسيطة المستندة إلى السلاسل التي تعتمد عليها فرق الأمن غالبًا لتحديد البرمجيات الخبيثة بسرعة.
يجب على المستخدمين توخي الحذر الشديد مع عروض العمل غير المرغوب فيها والتحقق من شرعية منصات التوظيف. يجب على المدافعين تحديث قواعد الكشف لمراعاة أنماط التجزئة والتشفير المحددة هذه لمنع الإصابة. تظل اليقظة ضد هذه التكتيكات المتطورة ضرورية للحفاظ على أمان قوي.