في عالم الأمن السيبراني المتغير باستمرار، تظهر حملات جديدة تستهدف مطوري البرمجيات المستقلة عبر الإنترنت. في حملة حديثة، تم تسميتها “التطوير المضلل”، يتم استهداف هؤلاء المطورين من خلال طُعم يتمحور حول مقابلات العمل، بهدف نشر برمجيات خبيثة عبر منصات متعددة، تُعرف باسم “بيفر تيل” (BeaverTail) و”إنفيسبل فيرت” (InvisibleFerret).
تحليل معمق وسياق تاريخي
تم ربط هذه الحملة بكوريا الشمالية، وهي ترتبط بمجموعات تتبع تحت أسماء مثل “المقابلة المُعدية” و”ديف بوبير” و”تشوليما الشهيرة” و”برافو بنفسجي” و”بونغسان العنيد”. هذه الحملة، التي بدأت في أواخر عام 2023، تستهدف بشكل خاص مطوري البرمجيات المستقلة من خلال هجمات التصيد الاحتيالي (Spear Phishing) على مواقع البحث عن الوظائف والعمل الحر، بهدف سرقة محافظ العملات الرقمية ومعلومات تسجيل الدخول من المتصفحات ومديري كلمات المرور.
في نوفمبر 2024، أكدت شركة “إيسيت” (ESET) وجود تشابهات بين “التطوير المضلل” و”المقابلة المُعدية”، واعتبرتها نشاطًا جديدًا لمجموعة “لازاروس” (Lazarus Group) التي تسعى لسرقة العملات الرقمية. يتميز هذا الهجوم باستخدام حسابات مزيفة لمجندين على وسائل التواصل الاجتماعي للتواصل مع الأهداف المحتملة ومشاركة قواعد الشيفرات الخبيثة المستضافة على منصات مثل “جيت هب” (GitHub) و”جيت لاب” (GitLab) و”بيت باكيت” (Bitbucket) التي تقوم بنشر الأبواب الخلفية تحت ستار عملية مقابلة عمل.
تأثيرات الأمن السيبراني والتهديدات المحتملة
تهدف الحملة إلى تحقيق الوصول الأولي من خلال إغراء الضحايا بتنفيذ المشروع واختباره، حيث يحدث الاختراق الأولي. تشير البحوث إلى أن هذه الحملة تستهدف مطوري البرمجيات الذين يعملون في مشاريع العملات الرقمية والتمويل اللامركزي حول العالم، مع تركزات كبيرة في دول مثل فنلندا والهند وإيطاليا وباكستان وإسبانيا وجنوب إفريقيا وروسيا وأوكرانيا والولايات المتحدة.
يعد استخدام طعوم مقابلات العمل استراتيجية كلاسيكية تعتمدها مجموعات القرصنة الكورية الشمالية، وأبرزها حملة “عملية الحلم الوظيفي”. كما يوجد أدلة تشير إلى تورط الجهات المهددة في مخطط العمالة الاحتيالي، حيث يتقدم الكوريون الشماليون لوظائف خارجية بهويات زائفة لجني رواتب منتظمة لدعم أولويات النظام.
رؤى الخبراء والتوسع في الموضوع
تشير هذه الحملة إلى تحول مستمر من التركيز على الأموال التقليدية إلى العملات الرقمية. وخلال الأبحاث، لوحظ أن الأدوات والتقنيات المستخدمة قد تطورت من أدوات وتقنيات بدائية إلى برمجيات خبيثة أكثر تطورًا وقدرة، بالإضافة إلى تقنيات أكثر دقة لجذب الضحايا وتنفيذ البرمجيات الخبيثة.
مع استمرار هذه التهديدات في التطور، تظل صناعة الأمن السيبراني في حالة تأهب لمراقبة ودراسة هذه الحملات المعقدة. السؤال الذي يطرح نفسه هنا: كيف يمكن للمطورين المستقلين حماية أنفسهم بشكل أفضل من مثل هذه التهديدات المتطورة؟
للاطلاع على المزيد من المحتوى الحصري، تابعونا على تويتر وفيسبوك.
شاركنا رأيك بتعليق