قراصنة كوريا الشمالية يستهدفون مطوري العملات الرقمية عبر منصة البرمجيات مفتوحة المصدر

كشفت شركة أمريكية متخصصة في الأمن السيبراني عن قيام قراصنة كوريا الشمالية بتحويل إحدى مكتبات البرمجيات الأكثر استخداماً في العالم إلى قناة لتوزيع البرمجيات الخبيثة.

الهجوم على نظام npm

في تقرير حديث، أعلن باحثو الأمن في شركة “سوكيت” المتخصصة في أمن سلسلة التوريد البرمجي، عن اكتشاف أكثر من 300 حزمة برمجية خبيثة تم رفعها إلى سجل npm، وهو المستودع المركزي الذي يستخدمه الملايين من المطورين لمشاركة وتثبيت برمجيات JavaScript.

صُممت هذه الحزم البرمجية، وهي قطع صغيرة من الكود قابلة لإعادة الاستخدام في كل شيء بدءاً من المواقع الإلكترونية ووصولاً إلى تطبيقات العملات الرقمية، لتبدو غير ضارة. ولكن بمجرد تنزيلها، كانت تقوم بتثبيت برمجيات خبيثة قادرة على سرقة كلمات المرور، وبيانات المتصفح، ومفاتيح محافظ العملات المشفرة.

من يقف وراء الهجوم؟

أطلقت الشركة على هذه الحملة اسم “Contagious Interview”، ووصفتها بأنها جزء من عملية متطورة تديرها قراصنة مدعومون من دولة كوريا الشمالية. يتخفى هؤلاء القراصنة في صورة مسؤولي توظيف في قطاع التكنولوجيا لاستهداف المطورين العاملين في مجالات البلوكشين، والويب 3، والصناعات المرتبطة بها.

لماذا يعد هذا الهجوم خطيراً؟

يُعتبر نظام npm العمود الفقري للويب الحديث. اختراقه يسمح للمهاجمين بتسريب كود ضار إلى عدد لا يحصى من التطبيقات. وقد حذر خبراء الأمن لسنوات من أن هجمات “سلسلة التوريد البرمجية” مثل هذه هي من بين أخطر الهجمات في الفضاء الإلكتروني، لأنها تنتشر بشكل غير مرئي من خلال التحديثات والبرامج المعتمدة الموثوقة.

كيف تم تتبع الهجوم إلى كوريا الشمالية؟

تتبع باحثو “سوكيت” الحملة من خلال مجموعة من أسماء الحزم التي تشبه المكتبات الشهيرة ولكنها تحوي أخطاء إملائية، مثل express و dotenv و hardhat. كما اعتمدوا على أنماط برمجية مرتبطة بعائلات برمجيات خبيثة معروفة سابقاً تنسب إلى كوريا الشمالية.

استخدم المهاجمون نصوص “محمل” مشفرة تقوم بفك تشفير وتنفيذ الحمولة الخبيثة المخفية مباشرة في الذاكرة، مما يترك القليل من الآثار على القرص الصلب.

وقعت حوالي 50,000 عملية تنزيل للحزم الخبيثة قبل إزالة العديد منها، بينما لا يزال بعضها متاحاً على الإنترنت. كما استخدم القراصنة حسابات وهمية على موقع لينكد إن للتجنيد، وهي تكتيكات تتوافق مع حملات التجسس الإلكتروني السابقة التي نُسبت إلى كوريا الشمالية.

ما هي الأهداف النهائية؟

يعتقد المحققون أن الأجهزة التي تحتوي على بيانات الاعتماد الخاصة بالوصول والمحافظ الرقمية كانت الهدف النهائي لهذا الهجوم. تتوافق هذه النتائج مع تقارير أخرى تربط كوريا الشمالية بعمليات سرقة عملات مشفرة بلغت قيمتها مليارات الدولارات.

كيف يمكن الحماية؟

تؤكد هذه الحادثة للمطورين وشركات العملات المشفرة الناشئة مدى ضعف سلسلة التوريد البرمجية. ينصح الباحثون في مجال الأمن الفرق بالتعامل مع كل أمر “npm install” على أنه تنفيذ محتمل لكود ضار، وفحص التبعيات البرمجية قبل دمجها في المشاريع، واستخدام أدوات المراجعة الآلية لاكتشاف الحزم التي تم العبث بها. قوة النظام البيئي مفتوح المصدر – وهي انفتاحه – تبقى أكبر نقطة ضعف فيه عندما يقرر الخصوم تحويله إلى سلاح.

الأسئلة الشائعة

ما الذي حدث بالضبط؟

قام قراصنة من كوريا الشمالية برفع أكثر من 300 حزمة برمجية خبيثة إلى مستودع npm الشهير. كانت هذه الحزم تثبت برمجيات خبيثة لسرقة كلمات المرور وبيانات المتصفح ومفاتيح محافظ العملات الرقمية بمجرد تنزيلها.

من كان الهدف من هذا الهجوم؟

كان الهدف الأساسي هم المطورون العاملون في مجال البلوكشين، والويب 3، والعملات المشفرة. استخدم القراصنة حسابات وهمية على لينكد إن للتوظيف لخداع المطورين.

كيف أحمي نفسي من هكذا هجمات؟

يجب على المطورين توخي الحذر الشديد واتباع هذه الخطوات:

• اعتبار كل أمر “npm install” مصدر خطر محتمل.
• فحص أي مكتبة أو حزمة برمجية قبل استخدامها في المشروع.
• استخدام أدوات آلية للمراجعة الأمنية لاكتشاف الحزم المزيفة أو الخبيثة.