يُنبه مطورو البرمجيات حول العالم من تهديد جديد وخطير يستهدف سلسلة التوريد في عالم البرمجة. فقد حذر باحثو الأمن من قيام قراصنة مرتبطين بكوريا الشمالية برفع 26 حزمة برمجية خبيثة إلى سجل “إن بي إم” الشهير. تهدف هذه الحزم إلى إصابة أجهزة المطورين وسرقة البيانات الحساسة، مما يشكل خطراً كبيراً على مجتمع التشفير وويب 3.
حزم خبيثة تتنكر في هيئة أدوات شرعية
وفقاً للتحذير الذي نشرته مجتمع GoPlus، فإن المهاجمين نشروا 26 حزمة مزيفة تحاكي أدوات تطوير مشروعة، خاصة تلك المتعلقة بفحص الكود والأدوات المساعدة. تحتوي كل حزمة على سكريبت “install.js” يعمل تلقائياً عند تثبيت الحزمة. بمجرد تشغيله، ينفذ السكريبت كوداً خفياً يقوم بهدوء بتنزيل برنامج تجسس (RAT) يمنح المهاجمين تحكماً كاملاً في النظام المصاب.
نظراً لأن عمليات تثبيت الحزم غالباً ما تكون تلقائية، فقد لا يلاحظ العديد من المطورين حدوث الإصابة. هذه الطريقة فعالة لأنها تستغل سير العمل الطبيعي للمطورين، حيث يصل البرنامج الضار متنكراً في صورة أداة روتينية.
ماذا يمكن للبرنامج الضار أن يفعل؟
يمنح برنامج التجسس المضمن المهاجمين وصولاً عميقاً إلى الأنظمة المصابة. يمكنه القيام بعدة إجراءات خطيرة، منها:
- تسجيل كل ما يتم كتابته على لوحة المفاتيح.
- سرقة البيانات المخزنة مؤقتاً (الكلب بورد) ومعلومات تسجيل الدخول في المتصفح.
- مسح الأنظمة للعثور على الأسرار والمفاتيح المكشوفة.
- محاولة سرقة مستودعات Git ومفاتيح SSH.
بالنسبة لمطوري العملات الرقمية، يكون الخطر أعلى. حيث يمكن أن تؤدي سرقة المفاتيح أو بيانات الاعتماد مباشرة إلى اختراق المحافظ الرقمية أو تعريض المشاريع للخطر.
ارتباط بمجموعة “فاموس تشوليم” القرصانية
ربط المحققون هذا النشاط بعملية قرصنة كورية شمالية تعرف باسم Famous Chollima. هذه المجموعة لها تاريخ طويل في استهداف المطورين ومشاريع التشفير والمنصات المالية. تستخدم الحملة الحالية تقنيات متقدمة لإخفاء الكود، مما يجعل اكتشافها وإزالتها أكثر صعوبة. يتناسب هذا النمط مع العمليات الكورية الشمالية السابقة التي تركز على التسلل طويل الأمد.
نصائح أمنية للمطورين
يحث خبراء الأمن جميع المطورين، وخاصة أولئك العاملين في مجال العملات الرقمية وويب 3، على اتباع خطوات أساسية للبقاء في أمان:
- التحقق من مصادر الحزم البرمجية بعناية قبل تثبيتها.
- مراجعة قائمة التبعيات (dependency tree) للمشروع.
- استخدام ملفات القفل (lockfiles) وأدوات التدقيق الأمني.
- عدم الثقة العمياء في أي حزمة، مهما بدت صغيرة أو عادية.
يذكرنا هذا الحادث بأن الأنظمة مفتوحة المصدر تبقى هدفاً رئيسياً للقراصنة. ومع نمو عالم التشفير، تزداد المخاطر. يبقى الحذر والفحص الدقيق هما أفضل دفاع.
الأسئلة الشائعة
ما هو التهديد الجديد الذي يستهدف المطورين؟
تهديد جديد يستهدف سلسلة توريد البرمجيات، حيث قام قراصنة برفع 26 حزمة خبيثة إلى سجل “إن بي إم” لسرقة بيانات المطورين، خاصة في مجالي التشفير وويب 3.
كيف يعمل هذا البرنامج الضار؟
تتنكر الحزم الخبيثة في هيئة أدوات تطوير شرعية. عند تثبيتها، تشغل تلقائياً برنامج تجسس (RAT) يمكنه تسجيل ضغطات المفاتيح وسرقة كلمات المرور والمفاتيح السرية.
كيف يمكن للمطورين حماية أنفسهم؟
يجب على المطورين التحقق من مصادر أي حزمة قبل تثبيتها، ومراجعة تبعيات مشاريعهم باستمرار، واستخدام أدوات التدقيق الأمني، وعدم الثقة العمياء في الحزم البرمجية.
