كتبت: إسراء الشامي
في عصر تتزايد فيه التهديدات السيبرانية، تم رصد مجموعة من المتسللين الكوريين الشماليين المعروفين بحملتهم “المقابلة المعدية” (Contagious Interview) وهم يستخدمون تقنية التشفير (Steganography) في ملفات الصور SVG لإخفاء حمولات ضارة. تأتي هذه الأنشطة كجزء من حملة تعتمد على نشر إعلانات مزيفة للوظائف وتحديات برمجية.
تسلط التقارير الضوء على كيفية تسبب تشغيل أي مشروع في تعرض المستخدمين لمجموعة معقدة من البرمجيات الضارة. فقد أشار مختبرات الأمن السيبراني إلى أن هذه الحمولة تتكون من أربعة مراحل مرتبطة ببرنامج “أوتير كوكاي” (OTTERCOOKIE) المتطور. تشمل هذه المراحل سرقة بيانات الاعتماد الخاصة بالمتصفح والمحافظ الرقمية، وسرقة الملفات، بالإضافة إلى وجود برنامج وصول عن بُعد يعتمد على Socket.IO.
استهداف المطورين من قبل قراصنة مدعومين من الدولة
تستمر الأنشطة الهجومية في استهداف المطورين البرمجيين بشكل خاص، حيث تهدف هذه الهجمات إلى سرقة البيانات الحساسة وسرقة المحافظ الرقمية. يُعزى هذا النشاط تحت الاسم الرمزي “REF9403” في محاولة لكشف التكتيكات الجديدة التي تستخدمها هذه الجماعات.
تقنيات جديدة في الهجمات الإلكترونية
كشفت أنشطة المتسللين عن محاولة جديدة للوصول إلى الضحايا، حيث استهدفوا أعضاء مساحة العمل على منصة سلاك مع إغراءات تتعلق بعروض العمل المزعومة. في نهاية مايو 2026، قام مستخدم يدعى “ماكسويل” بنشر رسائل في قناة الوظائف على سلاك، بحثاً عن مطور ذو خبرة لتحديث منصة التجارة الإلكترونية الخاصة به.
آلية الهجمات باستخدام البرمجيات الضارة
أولئك الذين أبدوا اهتمامًا بالوظيفة تم توجيههم إلى رسائل مباشرة تطلب منهم إكمال تقييم برمجي كجزء من عرض العمل. الجدير بالذكر أن هذا التقييم تضمن تشغيل مستودع يحتوي على برمجيات ضارة مصممة لسرقة البيانات القيمة، وإعداد باب خلفي عبر Socket.IO. بينما يبدو أن هذه المشاريع الشرعية تعمل بشكل جيد، فإن البرمجيات الضارة تُفعّل بشكل صامت في الخلفية.
تنفيذ البرمجيات الضارة في بيئات مختلفة
تعتمد الهجمات على تقسيم الحمولة الضارة إلى قطع مشفرة بقاعدة 64 داخل تعليقات HTML في كل صورة علم SVG. تبدو هذه الملفات كصور عادية لعلم الدول، لكن كل ملف يحتوي على كتلة تعليقات مشفرة. تضم الحملة برمجيات ضارة مصممة لعملية خاصة تجمع بين سرقة البيانات والتحكم عن بُعد.
تحذيرات متزايدة بشأن الاختراقات السيبرانية
تُظهر الإحصاءات أن الحمولات الرئيسية تتداخل مع “أوتير كوكاي”، وهو برنامج برمجي ظهرت أولى علاماته في سبتمبر 2024، وتطور ليصبح أداة متكاملة لجمع المعلومات. يشير التقنيون إلى أن هذه البرمجيات تحتوي على أربعة وحدات متميزة تتيح لها جمع البيانات من المتصفحات والمحافظ الرقمية وتنفيذ أوامر النظام.
تشير الإشعارات إلى أن البرمجيات تلاحق معلومات شاملة، بما في ذلك الأدوات المتعلقة بالذكاء الاصطناعي، مما يدل على أن القراصنة يقومون بتحديث أدواتهم باستمرار لتوسيع نطاق تقديراتهم للحملات.
مخاطر استهداف المطورين الفرديين
تؤكد هذه الحملة على أن المطورين لا يزالون يمثلون هدفاً رئيسياً. فاختراق شخص واحد يمكن أن يوفر الوصول الأولي اللازم لتمكين هجمات سلسلة التوريد الأوسع نطاقاً ضد المنظمات. إن نجاح هذه العمليات يسلط الضوء على كيفية تحويل اختراق مطور واحد إلى تأثير كبير على مستوى المؤسسة بالكامل.
يمكنك قراءة المزيد في المصدر.
لمزيد من التفاصيل اضغط هنا.