كشف باحثون في مجال الأمن السيبراني عن موجة جديدة من حملة التهديدات المستمرة المعروفة باسم “Contagious Interview”، حيث قامت مجموعة هكرز تابعة لكوريا الشمالية تُعرف باسم “Famous Chollima” بنشر 26 حزمة برمجية خبيثة على مستودع npm الرسمي.
تظهر هذه الحزم بأسماء مضللة تحاكي أدوات تطوير شائعة (مثل expressjs-lint وfastify-lint) لخدع المطورين ودفعهم لتثبيتها. وتتميز هذه النسخة بقدرتها على العمل عبر منصات مختلفة، حيث تستهدف أنظمة ويندوز، وماك، ولينكس على حد سواء، بهدف سرقة بيانات الاعتماد والتحكم في الأجهزة عن بعد.
تقنيات “StegaBin”: التخفي خلف مقالات علمية في Pastebin
تستخدم هذه الحملة، التي أُطلق عليها اسم “StegaBin”، أساليب متطورة لإخفاء عناوين خوادم التحكم (C2) وتجاوز أنظمة الكشف الآلي. يقوم البرنامج الخبيث بالاتصال بموقع “Pastebin” لقراءة مقالات تبدو بريئة حول علوم الحاسب، ولكنها تحتوي في الحقيقة على عناوين مشفرة بتقنية “إخفاء المعلومات” (Steganography). يعمل مفكك الشفرة على استخراج أحرف محددة من مواقع محددة داخل النص لبناء روابط خوادم التحكم المستضافة على منصة “Vercel”، مما يجعل عملية تتبع البنية التحتية للهجوم بالغة التعقيد وصعبة الاكتشاف والمراجعة البشرية.
ترسانة تجسس شاملة: من سرقة كلمات المرور إلى محافظ العملات الرقمية
بمجرد إصابة الجهاز، يقوم المهاجمون بنشر مجموعة شاملة من الوحدات البرمجية لجمع المعلومات الاستخباراتية. تشمل هذه الوحدات برمجيات قادرة على سرقة بيانات المتصفحات ومحافظ العملات الرقمية مثل “MetaMask” و”Trust” و”Exodus”، بالإضافة إلى استهداف “iCloud Keychain” على أنظمة الماك. كما تتضمن الترسانة وحدة خاصة لمراقبة لوحة المفاتيح (Keylogger) وتتبع حركة الفأرة وسرقة محتويات الحافظة (Clipboard) كل عشر دقائق، فضلاً عن وحدة “truffle” التي تقوم بتحميل أداة “TruffleHog” الحقيقية من “GitHub” للبحث عن الأسرار البرمجية والمفاتيح المشفرة داخل ملفات المطور.
آليات استمرار الهجوم واختراق بيئة VS Code
لضمان البقاء داخل النظام المخترق، تستغل الحملة محرر الأكواد الشهير “Visual Studio Code” عبر وحدة “vs”، التي تقوم بزرع ملف مهام خبيث (tasks.json) يُفعل تلقائياً عند فتح أي مشروع برمج، ليعيد الاتصال بخوادم المهاجمين. كما يعمل الهجوم على جمع مفاتيح “SSH” وبيانات مستودعات “Git” الشخصية. ويرى الخبراء أن هذا التطور يمثل جهداً منسقاً من قبل المهاجمين لتطوير تقنيات التملص وجعل عملياتهم أكثر مرونة في مواجهة الرقابة الأمنية، مع توقعات باستمرار المجموعة في تنويع أساليبها وبنيتها التحتية لتقديم حمولات خبيثة إضافية.
فيما يلي قائمة بحزم npm الخبيثة
- argonist@0.41.0
- bcryptance@6.5.2
- bee-quarl@2.1.2
- bubble-core@6.26.2
- corstoken@2.14.7
- daytonjs@1.11.20
- ether-lint@5.9.4
- expressjs-lint@5.3.2
- fastify-lint@5.8.0
- formmiderable@3.5.7
- hapi-lint@19.1.2
- iosysredis@5.13.2
- jslint-config@10.22.2
- jsnwebapptoken@8.40.2
- kafkajs-lint@2.21.3
- loadash-lint@4.17.24
- mqttoken@5.40.2
- prism-lint@7.4.2
- promanage@6.0.21
- sequelization@6.40.2
- typoriem@0.4.17
- undicy-lint@7.23.1
- uuindex@13.1.0
- vitetest-lint@4.1.21
- windowston@3.19.2
- zoddle@4.4.2
