الصفحة الرئيسيةالأخبار* اكتشف الباحثون 35 حزمة npm خبيثة جديدة مرتبطة بفاعلين تهديد من كوريا الشمالية.
تم تنزيل الحزم أكثر من 4000 مرة وتم نشرها من 24 حساب npm.
تستخدم الحملة أدوات تحميل البرامج الضارة المشفرة لتقديم سارقي المعلومات وأدوات الوصول عن بعد.
المهاجمون يتظاهرون بأنهم مجندون ويستهدفون المطورين بمهمات عمل وهمية على مواقع مثل لينكد إن.
تهدف العملية إلى سرقة العملات المشفرة والبيانات الحساسة من أنظمة المطورين المهددة.
حدد متخصصو الأمن السيبراني 35 حزمة جديدة ضارة من npm مرتبطة بحملة الهجوم السيبراني المستمرة "المقابلة المعدية" ، والتي تنسب إلى مجموعات ترعاها الدولة من كوريا الشمالية. ظهرت الموجة الجديدة من البرامج الضارة على منصة حزمة npm مفتوحة المصدر وتستهدف المطورين والباحثين عن عمل.
إعلان - وفقًا لـ Socket، تم تحميل هذه الحزم من 24 حساب npm منفصل وقد تلقت أكثر من 4000 عملية تنزيل. ستة من هذه الحزم، بما في ذلك "react-plaid-sdk"، "sumsub-node-websdk"، و"router-parse"، ظلت متاحة للجمهور في وقت الاكتشاف.
تحتوي كل حزمة على أداة تسمى HexEval ، وهي عبارة عن محمل سداسي عشري يجمع معلومات حول الكمبيوتر المضيف بعد التثبيت. ينشر HexEval بشكل انتقائي برنامجا ضارا آخر يسمى BeaverTail ، والذي يمكنه تنزيل وتشغيل باب خلفي قائم على Python يسمى InvisibleFerret. يسمح هذا التسلسل للمتسللين بسرقة البيانات الحساسة والتحكم عن بعد في النظام المصاب. * "يساعد هيكل دمية التعشيش هذا الحملة على التهرب من الماسحات الضوئية الثابتة الأساسية والمراجعات اليدوية" ، صرح الباحث في Socket Kirill Boychenko.
غالبًا ما تبدأ الحملة عندما يتظاهر المهاجمون بأنهم مجندون على منصات مثل LinkedIn. يتواصلون مع مهندسي البرمجيات ويرسلون مهام عمل مزيفة عبر روابط لمشاريع مستضافة على GitHub أو Bitbucket حيث يتم تضمين هذه الحزم npm. ثم يتم إقناع الضحايا بتنزيل هذه المشاريع وتشغيلها، أحيانًا خارج البيئات الآمنة.
تسعى عملية مقابلة العدوى، التي تم تفصيلها لأول مرة بواسطة وحدة 42 في بالو ألتو نتوركس في أواخر عام 2023، إلى الوصول غير المصرح به إلى أجهزة المطورين بشكل أساسي لسرقة العملات المشفرة والبيانات. تُعرف الحملة أيضًا بأسماء مثل CL-STA-0240 وDeceptiveDevelopment وGwisin Gang.
تشير تقارير Socket إلى أن تكتيكات المهاجمين الحالية تجمع بين حزم المصادر المفتوحة المملوءة بالبرامج الضارة، والهندسة الاجتماعية المصممة خصيصًا، وآليات التسليم المتعددة لتجاوز أنظمة الأمان. تُظهر الحملة تحسينًا مستمرًا، مع إضافة مسجلات مفاتيح عبر الأنظمة الأساسية وتقنيات جديدة لتسليم البرامج الضارة.
تشمل الأنشطة الأخيرة استخدام استراتيجية الهندسة الاجتماعية المعروفة باسم ClickFix، والتي توصل برامج ضارة مثل GolangGhost و PylangGhost. تستمر هذه الحملة الفرعية، ClickFake Interview، في استهداف المطورين بأحمال مخصصة لمراقبة أعمق عند الضرورة.
إعلان - يمكن العثور على مزيد من التفاصيل والقائمة الكاملة بحزم npm المتأثرة من خلال البيان العام من Socket.
المقالات السابقة:
محفظة أرجنت تعيد العلامة التجارية لتصبح ريدي مع استراتيجية منتج مزدوجة
YESminer تطلق منصة تشفير مدعومة بالذكاء الاصطناعي مع مكافآت مجانية
بنك كوريا يريد من البنوك قيادة إصدار العملات المستقرة، يركز على السلامة
بيرني ساندرز يحذر من أن الذكاء الاصطناعي والروبوتات تهدد الوظائف؛ ويحث على حماية جديدة
جلسة استماع في مجلس الشيوخ حول هيكل سوق العملات الرقمية تجذب خمسة أعضاء فقط
إعلان -
شاهد النسخة الأصلية
المحتوى هو للمرجعية فقط، وليس دعوة أو عرضًا. لا يتم تقديم أي مشورة استثمارية أو ضريبية أو قانونية. للمزيد من الإفصاحات حول المخاطر، يُرجى الاطلاع على إخلاء المسؤولية.
برنامج ضار من كوريا الشمالية يستهدف المطورين في مقابلات العمل المزيفة
الصفحة الرئيسيةالأخبار* اكتشف الباحثون 35 حزمة npm خبيثة جديدة مرتبطة بفاعلين تهديد من كوريا الشمالية.
تحتوي كل حزمة على أداة تسمى HexEval ، وهي عبارة عن محمل سداسي عشري يجمع معلومات حول الكمبيوتر المضيف بعد التثبيت. ينشر HexEval بشكل انتقائي برنامجا ضارا آخر يسمى BeaverTail ، والذي يمكنه تنزيل وتشغيل باب خلفي قائم على Python يسمى InvisibleFerret. يسمح هذا التسلسل للمتسللين بسرقة البيانات الحساسة والتحكم عن بعد في النظام المصاب. * "يساعد هيكل دمية التعشيش هذا الحملة على التهرب من الماسحات الضوئية الثابتة الأساسية والمراجعات اليدوية" ، صرح الباحث في Socket Kirill Boychenko.
غالبًا ما تبدأ الحملة عندما يتظاهر المهاجمون بأنهم مجندون على منصات مثل LinkedIn. يتواصلون مع مهندسي البرمجيات ويرسلون مهام عمل مزيفة عبر روابط لمشاريع مستضافة على GitHub أو Bitbucket حيث يتم تضمين هذه الحزم npm. ثم يتم إقناع الضحايا بتنزيل هذه المشاريع وتشغيلها، أحيانًا خارج البيئات الآمنة.
تسعى عملية مقابلة العدوى، التي تم تفصيلها لأول مرة بواسطة وحدة 42 في بالو ألتو نتوركس في أواخر عام 2023، إلى الوصول غير المصرح به إلى أجهزة المطورين بشكل أساسي لسرقة العملات المشفرة والبيانات. تُعرف الحملة أيضًا بأسماء مثل CL-STA-0240 وDeceptiveDevelopment وGwisin Gang.
تشير تقارير Socket إلى أن تكتيكات المهاجمين الحالية تجمع بين حزم المصادر المفتوحة المملوءة بالبرامج الضارة، والهندسة الاجتماعية المصممة خصيصًا، وآليات التسليم المتعددة لتجاوز أنظمة الأمان. تُظهر الحملة تحسينًا مستمرًا، مع إضافة مسجلات مفاتيح عبر الأنظمة الأساسية وتقنيات جديدة لتسليم البرامج الضارة.
تشمل الأنشطة الأخيرة استخدام استراتيجية الهندسة الاجتماعية المعروفة باسم ClickFix، والتي توصل برامج ضارة مثل GolangGhost و PylangGhost. تستمر هذه الحملة الفرعية، ClickFake Interview، في استهداف المطورين بأحمال مخصصة لمراقبة أعمق عند الضرورة.
المقالات السابقة: