🚧 Cybrat is a sub-brand of SySOC s.r.o. and is currently in beta phase
🚧 سيبرات علامة فرعية مملوكة لشركة سيسوك وتعمل حالياً ضمن المرحلة التجريبية

CYBRAT

ســيــبــرات

لأن الأمان يبدأ بالمعلومة

,

تهديدات كوريا الشمالية: كيف تتحدى البرمجيات الخبيثة الجديدة النظام البيئي لـ npm

2–3 minutes

في ظل التهديدات المتزايدة من الجهات الفاعلة السيبرانية، تبرز حملة جديدة تُعرف باسم “المقابلة المعدية” التي تنفذها كوريا الشمالية في النظام البيئي لـ npm، حيث تم نشر حزم ضارة تهدف إلى توزيع البرمجيات الخبيثة BeaverTail، بالإضافة إلى أداة تحميل جديدة لـ Remote Access Trojan (RAT).

تحليل وتفسير

أفاد الباحث الأمني في شركة Socket، كيريل بويشينكو، بأن العينات الجديدة تستخدم ترميز السلاسل الست عشرية لتفادي أنظمة الكشف الآلية وعمليات التدقيق اليدوي، مما يشير إلى تنوع في تقنيات التمويه المستخدمة من قبل الجهات الفاعلة.

تم تنزيل الحزم الخبيثة، التي تظاهرت بأنها أدوات مساعدة ومصححات للأخطاء، أكثر من 5,600 مرة قبل إزالتها. تشمل قائمة الحزم المكتشفة:

  • empty-array-validator
  • twitterapis
  • dev-debugger-vite
  • snore-log
  • core-pino
  • events-utils
  • icloud-cod
  • cln-logger
  • node-clog
  • consolidate-log
  • consolidate-logger

الأثر والأهمية الأمنية

تهدف الحملة إلى اختراق أنظمة المطورين تحت ستار عملية مقابلة عمل، وسرقة البيانات الحساسة، وسحب الأصول المالية، والحفاظ على الوصول طويل الأمد إلى الأنظمة المخترقة. تتميز بعض الحزم مثل dev-debugger-vite باستخدام عنوان Command-and-Control (C2) كان قد تم تحديده مسبقًا من قبل SecurityScorecard كجزء من حملة سابقة قامت بها مجموعة Lazarus في ديسمبر 2024.

يتضح أن الأنشطة الجديدة تتضمن استضافة الحزم الخبيثة في مستودعات Bitbucket بدلاً من GitHub، مما يشير إلى استراتيجية جديدة لتجنب الكشف. كما أن icloud-cod مستضافة في مجلد باسم “eiwork_hire”، مما يعزز استخدامهم لمواضيع تتعلق بالتوظيف لتفعيل الإصابة.

رؤى الخبراء والتوسع

تستمر الجهات الفاعلة في إنشاء حسابات npm جديدة ونشر الأكواد الضارة عبر منصات مثل npm registry وGitHub وBitbucket، مما يعكس إصرارهم وعدم وجود علامات على التباطؤ. يواصل فريق التهديدات المتقدمة APT تنويع تكتيكاته من خلال نشر البرمجيات الخبيثة تحت أسماء مستعارة جديدة، واستضافة الحمولات في كل من GitHub وBitbucket وإعادة استخدام المكونات الأساسية مثل BeaverTail وInvisibleFerret إلى جانب المتغيرات الجديدة من RAT/loader.

المزيد من المعلومات والتوجهات المستقبلية

في سياق متصل، كشفت شركة الأمن السيبراني الكورية الجنوبية AhnLab عن حملة تصيد احتيالي تعتمد على موضوع التوظيف لتوزيع BeaverTail، الذي يُستخدم لتثبيت برمجية خلفية جديدة غير موثقة سابقًا تسمى Tropidoor. تُظهر التحليلات أن BeaverTail يستهدف بنشاط المطورين في كوريا الجنوبية.

تشير هذه التطورات إلى ضرورة اتخاذ الحذر ليس فقط من المرفقات البريدية، ولكن أيضًا من الملفات التنفيذية القادمة من مصادر غير معروفة. كيف يمكن للمطورين حماية أنفسهم من هذه التهديدات المتزايدة؟ وما هي الخطوات التي يمكن اتخاذها لتعزيز أمن النظام البيئي لـ npm؟

لإجراء نقاش أوسع حول كيفية مواجهة هذه التهديدات، تابعونا على X (Twitter) وFacebook للحصول على المزيد من المحتوى الحصري.

اكتشف المزيد مع سيبرات

اشترك ليصلك أحدث المنشورات على بريدك الإلكتروني

شاركنا رأيك بتعليق

المقالات الرائجة

اكتشف المزيد مع سيبرات

اشترك الآن للاستمرار في القراءة والحصول على الوصول الكامل إلى الأرشيف

تابع القراءة