في عالم الأمن السيبراني المتغير بسرعة، تبرز التهديدات الإلكترونية من كوريا الشمالية كواحدة من أكثر القضايا تعقيدًا وإثارة للقلق. أحدث مثال على ذلك هو مجموعة لازاروس، مجموعة التهديدات الإلكترونية المعروفة، التي تم ربطها بزرع برمجيات خبيثة جديدة غير موثقة سابقًا تُعرف باسم “مارستيك1”. تستهدف هذه البرمجيات المطورين عبر هجمات محدودة الأهداف، مما يبرز الحاجة الماسة لفهم هذه التهديدات وطرق التصدي لها.

تحليل الهجمات الإلكترونية: الاستراتيجيات والآليات

تطلق شركة SecurityScorecard على هذه العملية النشطة اسم “فوضى مارستيك”، حيث يتم توزيع البرمجيات الخبيثة عبر مستودع مفتوح المصدر مستضاف على منصة GitHub. كان هذا المستودع مرتبطًا بملف شخصي يدعى “SuccessFriend”، والذي بقى نشطًا منذ يوليو 2024 ولكنه لم يعد متاحًا الآن.

تم تصميم الزرع لجمع معلومات النظام ويمكن تضمينه داخل مواقع الويب وحزم الـ (NPM)، مما يشكل خطرًا على سلسلة التوريد. تشير الأدلة إلى أن البرمجيات الخبيثة ظهرت لأول مرة في أواخر ديسمبر 2024، حيث تمكنت من استهداف 233 ضحية مؤكدة عبر الولايات المتحدة وأوروبا وآسيا.

الأثر والتداعيات الأمنية

أحد الأهداف الرئيسية للزرع هو البحث عبر أدلة المتصفحات المعتمدة على (Chromium) في أنظمة التشغيل المختلفة وتغيير الإعدادات المتعلقة بالإضافات، خاصة تلك المرتبطة بمحفظة العملات المشفرة (MetaMask). كما أنها قادرة على تنزيل حمولة إضافية من نفس الخادم على منفذ 3001.

تشمل المحافظ الأخرى المستهدفة من البرمجيات الخبيثة “Exodus” و”Atomic” على أنظمة التشغيل ويندوز ولينكس وماك. يتم بعد ذلك استخراج البيانات الملتقطة وإرسالها إلى نقطة التحكم “74.119.194[.]129:3000/uploads”.

تظهر التحاليل أن البرمجيات الخبيثة تستخدم تقنيات تعمية متعددة المراحل، مما يؤكد على نهج المهاجم المتقدم في تجنب الكشف التحليلي الثابت والديناميكي.

رؤى الخبراء والاتجاهات الحديثة

تأتي هذه الكشفية في الوقت الذي أعلنت فيه شركة Recorded Future أن ثلاثة منظمات على الأقل في قطاع العملات الرقمية، بما في ذلك شركة لصناعة الأسواق وكازينو على الإنترنت وشركة تطوير برمجيات، تم استهدافها كجزء من حملة “المقابلة المعدية” بين أكتوبر ونوفمبر 2024.

تتبع الشركة هذه المجموعة تحت اسم “PurpleBravo”، مشيرة إلى أن العاملين في مجال تكنولوجيا المعلومات في كوريا الشمالية وراء هذه التهديدات التجسسية. تُعرف هذه المجموعة أيضًا بأسماء CL-STA-0240 وFamous Chollima وTenacious Pungsan.

التداعيات القانونية والمالية

تحذر الشركات من أن توظيف العاملين في المجال التكنولوجي من كوريا الشمالية قد يعرضها لانتهاك العقوبات الدولية، مما يؤدي إلى عواقب قانونية ومالية. الأهم من ذلك، أن هؤلاء العاملين يشكلون تهديدًا داخليًا، حيث يمكنهم سرقة المعلومات السرية، أو إدخال أبواب خلفية، أو تسهيل عمليات قرصنة أكبر.

ختاماً: أسئلة للنقاش

كيف يمكن للمؤسسات تعزيز دفاعاتها ضد مثل هذه التهديدات المعقدة؟ وما هي الخطوات التي ينبغي اتخاذها على المستوى الدولي لمواجهة تهديدات القرصنة الكورية الشمالية؟ شاركوا آرائكم عبر منصاتنا على فيسبوك وX (تويتر سابقًا).