قراصنة كوريا الشمالية يغزون نظام “npm” بفيروس “ذيل القندس”

كشفت تقارير أمنية حديثة عن موجة جديدة من الهجمات الإلكترونية التي تقودها مجموعة قراصنة من كوريا الشمالية.

هذه المرة، استهدف القراصنة نظام npm، الذي يستخدمه مطورو البرامج بشكل شائع، من خلال إصدار 11 حزمة خبيثة تحتوي على برنامج BeaverTail الخبيث وبرنامج تنزيل مخفي يسمح بالتحكم عن بعد في الأنظمة المخترقة.

وأوضح الباحث الأمني في شركة “سوكيت” كيريل بويشينكو، أن القراصنة استخدموا أساليب تشفير متقدمة لإخفاء التعليمات البرمجية في الحزم، وبالتالي تجاوزوا أدوات الكشف الآلية وعمليات المراجعة اليدوية. ويعكس هذا تطورًا في أساليب التعتيم والإخفاء، وفقًا لتقرير نشره موقع thehackernews.

تم تنزيل الحزم أكثر من 5600 مرة قبل إزالتها، وكانت بمثابة أدوات تطوير مثل dev-debugger-vite، وevents-utils، وicloud-cod، وبعضها مرتبط بمستودعات Bitbucket بدلاً من GitHub – وهو سلوك غير تقليدي مصمم لتضليل وكالات الأمن.

وبحسب التقرير، تحتوي هذه الحزم على تعليمات برمجية خبيثة يمكنها تحميل وتنفيذ تعليمات JavaScript البرمجية عن بعد باستخدام وظيفة eval(). يتيح هذا للمتسللين التحكم الكامل تقريبًا في الأجهزة المصابة ويسمح لهم بتنزيل برامج ضارة إضافية مثل InvisibleFerret و Tropidoor.

ويبدو أن هذه الحملة جزء من حملة أوسع نطاقاً تسمى “المقابلات المعدية”، حيث يقوم المتسللون بإغراء الضحايا بعروض عمل وهمية.

يبدو أن أحد الهجمات بدأ برسالة بريد إلكتروني مزيفة من شركة تسمى AutoSquare، تطلب من الضحية تنزيل مشروع من Bitbucket. وتبين لاحقًا أن المشروع كان بمثابة غطاء لتوزيع BeaverTail وبرنامج تنزيل DLL الخبيث.

وكشفت التحقيقات أيضًا أن Tropidoor، أحد مكونات هذه الهجمات، يعمل حصريًا في ذاكرة النظام، ويجمع البيانات الحساسة وينفذ أوامر Windows مثل “schtasks” و”reg” و”ping” – وهي تقنيات استخدمت سابقًا في هجمات شنتها مجموعة Lazarus، وهي مجموعة هجوم إلكتروني سيئة السمعة مرتبطة بنظام بيونج يانج.

ويحذر خبراء الأمن السيبراني من هذه الهجمات المتطورة، ويؤكدون على ضرورة الحذر من الروابط والمرفقات غير المعروفة، وخاصة تلك التي تأتي على شكل عروض عمل أو مشاريع تطوير مفتوحة المصدر.

مصدر: