مستودعات Next.js الخبيثة تستهدف المطورين عبر مقابلات عمل مزيفة

Khaled AlZahraniمنذ أسبوعين

3 دقائق

Malicious Next.js Repos Target Developers Via Fake Job Interviews

تستهدف الحملة الجديدة المطورين عبر مستودعات Next.js الخبيثة، مما يبرز أهمية الوعي الأمني في عالم البرمجة.

يستهدف المهاجمون المطورين من خلال مستودعات Next.js الخبيثة لأداء تنفيذ التعليمات البرمجية عن بُعد (RCE) وإنشاء قناة تحكم وقيادة دائمة على الأجهزة المصابة في حملة مرتبطة بعمليات الاحتيال المتعلقة بالتوظيف الوهمية في كوريا الشمالية.

أطلقت مايكروسوفت إنذارًا بشأن هذه الأنشطة، التي تقدم مستودعات خبيثة مت disguised كمشاريع Next.js مشروعة ومواد تقييم فني. اكتشف باحثون من فريق خبراء مايكروسوفت ديفندر وفريق أبحاث الأمن مايكروسوفت ديفندر مجموعة متنوعة من المستودعات المصابة التي قدمت مسارات تنفيذ مختلفة لتسليم باب خلفي لاختراق أنظمة المطورين.

“تستخدم الحملة نقاط دخول متعددة تتقارب نحو نفس النتيجة: استرجاع وقت التشغيل والتنفيذ المحلي لجافا سكريبت التي يتحكم فيها المهاجم، والتي تنتقل إلى مرحلة التحكم والقيادة”، وفقًا لما ورد في منشور مدونة نشر يوم الثلاثاء من قبل الفريقين الأمنيين في مايكروسوفت.

دون أن تنسب الحملة بشكل محدد إلى كوريا الشمالية، أشار الباحثون إلى أن النشاط “يتماشى مع مجموعة أوسع من التهديدات التي تستخدم الطُعم المرتبط بالتوظيف للاندماج في سير العمل الروتيني للمطورين وزيادة احتمال تنفيذ التعليمات البرمجية”، وهي مجموعة مرتبطة بمجموعة Lazarus APT في كوريا الشمالية. يتضمن منشور المدونة أيضًا روابط لأبحاث طرف ثالث في وقت سابق من هذا العام حول نشاط APT الكوري الشمالي المرتبط بـ Microsoft Visual Studio Code. بالفعل، استهدف الفاعلون الكوريون الشماليون المطورين لسنوات من خلال تقديم فرص عمل مزيفة، والتي كجزء من مقابلة عمل مزيفة، تطلب منهم المشاركة في تحديات تطوير نموذجية تسلم التعليمات البرمجية الخبيثة إلى أجهزتهم.

“تظهر هذه الحملة المستهدفة للمطورين كيف يمكن أن يصبح مشروع ‘المقابلة’ المرتبط بالتوظيف بسرعة مسارًا موثوقًا لتنفيذ التعليمات البرمجية عن بُعد من خلال الاندماج في سير العمل الروتيني للمطورين مثل فتح مستودع، أو تشغيل خادم تطوير، أو بدء واجهة خلفية”، كما ذكر منشور المدونة.

الهدف النهائي من الحملة هو الحصول على تنفيذ على أنظمة المطورين التي غالبًا ما تحتوي على أصول ذات قيمة عالية مثل الشيفرة المصدرية، والأسرار البيئية، والوصول إلى موارد البناء أو السحابة، وفقًا لمايكروسوفت. تُظهر الحملة مرة أخرى كيف أن سير العمل للمطورين هو سطح هجوم رئيسي للتجسس السيبراني وأنشطة أخرى يمكن أن تؤدي إلى المزيد من اختراق سلسلة توريد البرمجيات بالكامل، وفقًا للباحثين.

المستودعات التي تؤدي إلى نشاط الباب الخلفي

اكتشف الباحثون الحملة مؤخرًا عندما رصد مايكروسوفت ديفندر اتصالات مشبوهة صادرة من عمليات Node.js إلى بنية تحتية يتحكم فيها المهاجم، متتبعين النشاط في النهاية إلى مستودعات Next.js التي تظهر جميعها نفس السلوك الخبيث. Next.js هو إطار تطوير ويب مفتوح المصدر مستخدم على نطاق واسع يتم صيانته بواسطة بائع البرمجيات السحابية Vercel.

تبدأ المستودعات الخبيثة أحد مسارين للتنفيذ التي تقدم مرحلة تسجيل خفيفة لإثبات هوية المضيف بالإضافة إلى كود التمهيد. تؤدي هذه في النهاية إلى استرجاع وقت التشغيل واستدعاء في الذاكرة لجافا سكريبت التي يتحكم فيها المهاجم، والتي تتحول إلى اتصال C2 دائم لتسليم المزيد من الحمولات واستخراج البيانات من الأنظمة المصابة.

تسيء بعض المستودعات استخدام أتمتة مساحة عمل Visual Studio Code من خلال تضمين ملف .vscode/tasks.json تم تكوينه لتنفيذ المهام تلقائيًا عند فتح مساحة العمل وثقتها، مما يؤدي إلى تشغيل تسلسل تحميل واستدعاء عبر Node.js. يقوم آخرون بإدراج منطق خبيث مشوش مباشرة في الأصول التطويرية بحيث عندما يقوم المطور بتشغيل أوامر بناء قياسية أو بدء خادم تطوير، يقوم الكود المتخفي بفك تشفير وتحميل حمولات إضافية.

تستمر الهجمات على المطورين

استهدف الجواسيس السيبرانيون الكوريون الشماليون المطورين بفرص عمل مزيفة منذ عام 2021 على الأقل عندما اكتشف الباحثون الأمنيون حملة Dream Jobs، التي أرسلت عروض عمل مزيفة مرتبطة بملفات ويب خبيثة. تطورت هذه الحملة إلى هجمات اجتماعية أكثر تعقيدًا حيث تم جذب المطورين للمشاركة في مشاريع تطوير مزيفة أو تحديات توظيف تسلم برامج تجسس وبرامج ضارة أخرى.

توضح الاكتشافات الأخيرة لمستودعات Next.js المسلحة التزام الفاعلين المستهدفين باستهداف المطورين ليس فقط لإنشاء قناة تجسس ولكن أيضًا لتسميم سلسلة توريد البرمجيات ككل. للدفاع ضد ذلك، يجب على فرق العمليات الأمنية وقادة DevSecOps “معاملة سير العمل للمطورين كسطح هجوم مميز، ودمج سياسات ثقة IDE، وتحليلات سلوكية، ومراقبة مستمرة في برامج الكشف والاستجابة للتهديدات الأوسع”، وفقًا لمايكروسوفت.

يمكن للمنظمات القيام بذلك من خلال فرض سياسات ثقة صارمة لبيئات التطوير مثل Visual Studio Code؛ ونشر قواعد تقليل سطح الهجوم عبر Microsoft Defender for Endpoint لتقييد سلوكيات تنفيذ النصوص المحفوفة بالمخاطر؛ وإعطاء الأولوية لرؤية الأنماط التنفيذية غير المتوقعة لـ Node.js والاتصالات الصادرة غير العادية من نقاط نهاية المطورين.

تذكر دائمًا أن تبقى حذرًا وأن تتبنى سياسات أمان قوية لحماية نفسك ومشاريعك من التهديدات المتزايدة.

الوسوم