الصفحات
بحث
تحذير للمطورين: وظائف وهمية تزرع برمجيات خبيثة (2025)
الأمن السيبراني #أمن_سيبراني #Lazarus

تحذير للمطورين: وظائف وهمية تزرع برمجيات خبيثة (2025)

منذ ساعة 3 مشاهدة 0 تعليق 2 دقائق قراءة
Latest news and stories from BleepingComputer.com
Latest news and stories from BleepingComputer.com مصدر إخباري
3 مشاهدة
0 إعجاب
0 تعليق
موثوق 95%

كشف تقرير أمني جديد عن حملة خطيرة تشنها جهات تهديد كورية شمالية، يُعتقد أنها مجموعة Lazarus الشهيرة، تستهدف مطوري لغات JavaScript وPython عبر عروض عمل وهمية تهدف في النهاية لسرقة العملات الرقمية وبيانات المستخدمين. بدأت هذه الأنشطة الخبيثة منذ مايو 2025 على الأقل، وتتميز بمرونتها العالية وقدرتها على التخفي.

فخ التوظيف الوهمي

وفقاً لباحثين في شركة ReversingLabs المتخصصة في أمن سلسلة التوريد البرمجية، يقوم القراصنة بإنشاء شركات وهمية في قطاعات البلوكتشين وتداول العملات الرقمية. ينشر هؤلاء القراصنة عروض عمل مغرية على منصات تواصل اجتماعي ومهنية شهيرة مثل LinkedIn وFacebook وReddit لاصطياد الضحايا.

تتطلب عملية التقديم لهذه الوظائف من المطورين إثبات مهاراتهم من خلال تشغيل وتصحيح وتحسين مشاريع برمجية معينة. وهنا يكمن الفخ؛ حيث أن الهدف الحقيقي للمهاجمين هو دفع المتقدم لتشغيل الكود على جهازه، مما يؤدي تلقائياً إلى تثبيت تبعيات برمجية خبيثة (Dependencies) من مستودعات تبدو شرعية.

حزم Graphalgo الخبيثة

يعتمد المهاجمون على حزم برمجية منشورة على سجلات npm وPyPi تعمل كأدوات تحميل لبرمجية تروجان للوصول عن بعد (RAT). وقد رصد الباحثون ما مجموعه 192 حزمة خبيثة مرتبطة بهذه الحملة التي أطلقوا عليها اسم "Graphalgo".

أشار الباحثون إلى سهولة إنشاء مستودعات مهام التوظيف هذه، حيث يقوم القراصنة ببساطة بأخذ مشروع شرعي بسيط وإضافة تبعية خبيثة إليه. ولإخفاء الطبيعة الخبيثة، يتم استضافة هذه التبعيات على منصات موثوقة.

تكتيكات التخفي والخداع

في إحدى الحالات التي أبرزها التقرير، كانت حزمة تسمى "bigmathutils"، والتي تم تحميلها 10,000 مرة، آمنة تماماً حتى الإصدار 1.1.0 الذي قدم حمولات خبيثة. وبعد فترة وجيزة، قام القراصنة بإزالة الحزمة ووضع علامة عليها كمهملة (deprecated) لإخفاء نشاطهم.

تستخدم الحملة أسماء حزم تحتوي على كلمة "graph" لانتحال صفة مكتبات شرعية وشائعة مثل graphlib. ومع ذلك، ومنذ ديسمبر 2025، تحول المهاجمون الكوريون الشماليون إلى استخدام حزم تحمل أسماء تبدأ بـ "big".

استهداف محافظ الكريبتو

بمجرد تشغيل الضحية للمشروع كما هو مطلوب في مقابلة العمل، يصاب نظامه بهذه الحزم التي تثبت حمولة RAT. تم تصميم هذا التروجان للتحقق مما إذا كانت إضافة محفظة MetaMask للعملات الرقمية مثبتة على متصفح الضحية، وهو مؤشر واضح على أهداف السرقة المالية.

يمكن للتروجان سرد العمليات الجارية على الجهاز المضيف، وتنفيذ أوامر عشوائية من خادم القيادة والتحكم (C2)، وسرقة الملفات. كما أن الاتصال بالخادم محمي برموز مميزة لمنع المراقبين غير المصرح لهم، وهو تكتيك شائع لقراصنة كوريا الشمالية.

نصائح للحماية

ينصح التقرير المطورين الذين قاموا بتثبيت الحزم الخبيثة في أي وقت بضرورة تدوير وتغيير جميع الرموز المميزة (Tokens) وكلمات مرور الحسابات فوراً، بالإضافة إلى إعادة تثبيت نظام التشغيل لضمان إزالة أي أثر للاختراق.

الأمن السيبراني

أحدث أخبار وتحليلات الأمن السيبراني
عرض الكل
##أمن_سيبراني ##Lazarus ##برمجة ##عملات_رقمية

الأسئلة الشائعة

يطلب القراصنة من المطورين حل تحديات برمجية تتضمن تحميل مشاريع تحتوي على تبعيات خبيثة من npm أو PyPi تثبت برمجيات تجسس.

الهدف الأساسي هو سرقة العملات الرقمية من خلال استهداف محافظ مثل MetaMask، بالإضافة إلى سرقة البيانات الحساسة.

تشير الأدلة بقوة إلى مجموعة Lazarus الكورية الشمالية، نظراً لتشابه التكتيكات والنطاق الزمني للهجمات.

التعليقات 0

سجل دخولك لإضافة تعليق

لا توجد تعليقات بعد. كن أول من يعلق!