تستمر التهديدات السيبرانية في التطور، حيث يستخدم المهاجمون أساليب جديدة لاختراق أنظمة المطورين. في هذا المقال، نستعرض كيفية استخدام حملة “المقابلة المعدية” لتسليم برمجيات خبيثة عبر Microsoft Visual Studio Code.
يستخدم المهاجمون الكوريون الشماليون وراء حملة “المقابلة المعدية” آلية جديدة تعتمد على Microsoft Visual Studio Code لتسليم باب خلفي غير مسبوق يمكّن من تنفيذ التعليمات البرمجية عن بُعد على أنظمة المطورين.
اكتشفت مختبرات Jamf أسلوب العدوى الأخير في وقت سابق من هذا الأسبوع ووصفته في تقرير كأحدث تطور في حملة مستمرة تستهدف مطوري البرمجيات وغيرهم من خلال مخططات توظيف احتيالية منذ أواخر عام 2023 على الأقل.
الاندماج مع سير العمل الخاص بالمطورين
كما هو الحال مع الإصدارات السابقة، تم تصميم آلية التسليم الجديدة لتندمج بسلاسة في سير العمل الشرعي للمطورين. تبدأ سلسلة الهجوم عندما يُطلب من الأهداف استنساخ وفتح مستودعات ضارة مستضافة على GitHub أو GitLab، عادةً ما يتم تقديمها كجزء من مهمة تقنية أو تمرين مراجعة كود مرتبط بعملية التوظيف.
عند فتح مطور لأحد هذه المشاريع في Visual Studio Code، يطلب التطبيق منهم الوثوق بمؤلف المستودع. إذا منح الضحية تلك الثقة، يقوم Visual Studio Code تلقائيًا بمعالجة ملف تكوين ضار مضمن في المشروع مما يؤدي إلى تنفيذ أوامر عشوائية على نظام الضحية دون أي تفاعل إضافي من المستخدم.
تؤدي الضحايا الذين يفتحون المشروع الضار على نظام macOS إلى تفعيل أمر مخفي يعمل بشكل غير مرئي في الخلفية، ثم يقوم بتنزيل وتشغيل ملف JavaScript باستخدام Node.js. يستمر الكود في العمل حتى لو تم إغلاق Visual Studio Code ولا ينتج عنه أي مخرجات مرئية، مما يجعل النشاط صعب الملاحظة من قبل المستخدم، حسبما ذكرت Jamf.
في تعليقات لـ Dark Reading، يقول جارون برادلي، مدير مختبرات Jamf، إن نهج استضافة المستودعات الضارة على هذه المنصات يبدو أنه أصبح شائعًا جدًا بين مشغلي حملة “المقابلة المعدية”. “في هذه الحالة، رصدت Jamf المستودع على الإنترنت لمدة أسبوعين على الأقل قبل إزالته”، وهو ما يتماشى مع ما يحدث عادةً مع هذه المستودعات، كما يقول.
حمولة جديدة
هذه هي المرة الأولى التي ترى فيها Jamf الحمولة المحددة التي يقوم المهاجمون بتسليمها من خلال النهج الجديد. “إنها مختلفة لأنها مكتوبة بالكامل بلغة JavaScript”، يلاحظ برادلي. يستخدم المهاجمون تكتيكات هندسية اجتماعية متنوعة لجذب ضحاياهم ويبدو أنهم يركزون على الأفراد الذين هم بالفعل على دراية بتطوير Node في هذه الحالة، يضيف.
تُعتبر حملة “المقابلة المعدية” حملة سرقة بيانات يُنسب إليها الباحثون الأمنيون بدرجة عالية من الثقة إلى المهاجمين الكوريين الشماليين. على عكس مخططات التصيد التقليدية، قام مشغلو “المقابلة المعدية” بالتظاهر بأنهم مجندون أو مرشحون للوظائف على LinkedIn ومنصات المطورين واستخدموا تفاعلات التوظيف التي تبدو شرعية لتسليم البرمجيات الخبيثة إلى أنظمة الضحايا.
تستهدف الحملة بشكل أساسي مطوري البرمجيات والمحترفين في تكنولوجيا المعلومات، وخاصة في المجالات عالية القيمة مثل blockchain والعملات المشفرة والتقنيات الناشئة، مع كون مستخدمي macOS هدفًا مفضلًا. تبدو دوافع المجموعة مزيجًا من التجسس، وتجارة الوصول الأولي، والربح المالي. وصف البائعون الذين يتتبعون “المقابلة المعدية” مشغليها بأنهم يتطورون باستمرار من خلال عائلات جديدة من البرمجيات الخبيثة بأسماء مثل “Ferret” و”BeaverTail”، وبنية تحتية جديدة، وحتى مقابلات عمل مدعومة بتقنية التزييف العميق.
“يستهدف هذا المهاجم بشكل أساسي أنظمة المطورين المعنية بمشاريع العملات المشفرة وblockchain”، يقول برادلي. “عادةً ما يقومون بنشر أدوات سرقة المعلومات التي تستخرج بسرعة بيانات الاعتماد وغيرها من المعلومات الحساسة، مما يمكّن المهاجم من انتحال شخصية المطور أو الحصول على وصول غير مصرح به إلى الأنظمة ذات الصلة.”
توصية Jamf للمطورين هي أن يتوخوا الحذر عند التفاعل مع المستودعات التابعة لجهات خارجية، خاصةً تلك التي تتضمن أطرافًا ثالثة. يجب على المطورين أيضًا مراجعة محتويات المستودع قبل وضع علامة عليه كموثوق في Visual Studio Code. “بالمثل”، قالت Jfrog في تقريرها، “يجب أن يتم تشغيل ‘npm install’ فقط على المشاريع التي تم تقييمها، مع إيلاء اهتمام خاص لملفات package.json، ونصوص التثبيت، وملفات تكوين المهام لتجنب تنفيذ التعليمات البرمجية الضارة عن غير قصد.”
مع تزايد التهديدات السيبرانية، من الضروري أن يكون المطورون على دراية بأساليب الحماية اللازمة. تأكد من مراجعة المستودعات بعناية وتوخي الحذر عند التعامل مع الأكواد من مصادر غير موثوقة.
