قالت شركة أمريكية للأمن السيبراني إن قراصنة كوريين شماليين حولوا إحدى مكتبات البرامج الأكثر استخدامًا في العالم إلى نظام توصيل للبرامج الضارة. وفي تقرير الأسبوع الماضي، باحثون في المقبس، وهي شركة لأمن سلسلة التوريد، أنهم عثروا على تم تحميل أكثر من 300 حزمة تعليمات برمجية ضارة إلى سجل npm، وهو مستودع مركزي يستخدمه ملايين المطورين لمشاركة برامج JavaScript وتثبيتها.
تم تصميم الحزم – وهي أجزاء صغيرة من التعليمات البرمجية القابلة لإعادة الاستخدام المستخدمة في كل شيء بدءًا من مواقع الويب وحتى تطبيقات التشفير – لتبدو غير ضارة. ولكن بمجرد التنزيل، قاموا بذلك برامج ضارة مثبتة قادرة على سرقة كلمات المرور وبيانات المتصفح ومفاتيح محفظة العملة المشفرة. وقالت سوكيت إن الحملة التي تسميها “مقابلة معدية“، كان جزءًا من عملية معقدة يديرها قراصنة ترعاهم الدولة في كوريا الشمالية الذين يتظاهرون بأنهم موظفو توظيف تقنيون لاستهداف المطورين العاملين في blockchain وWeb3 والصناعات ذات الصلة.
لماذا يهم: npm هو في الأساس العمود الفقري للويب الحديث. يسمح اختراقها للمهاجمين بإدخال تعليمات برمجية ضارة إلى عدد لا يحصى من التطبيقات النهائية. لقد حذر خبراء الأمن لسنوات من أن هجمات “سلسلة توريد البرمجيات” هذه هي من بين أخطر الهجمات في الفضاء الإلكتروني لأنها تنتشر بشكل غير مرئي من خلال التحديثات والتبعيات المشروعة.
الطريق إلى كوريا الشمالية
قام باحثو شركة سوكيت بتتبع الحملة من خلال مجموعة من أسماء الحزم المتشابهة، وهي إصدارات بها أخطاء إملائية من المكتبات الشائعة مثل يعبر, dotenv، و هاردهات– ومن خلال أنماط التعليمات البرمجية المرتبطة بعائلات البرامج الضارة الكورية الشمالية التي تم تحديدها مسبقًا والمعروفة باسم بيفر تيل و النمس غير المرئي. استخدم المهاجمون نصوص برمجية مشفرة لفك تشفير الحمولات المخفية وتنفيذها مباشرة في الذاكرة، تاركين آثارًا قليلة على القرص.
قالت الشركة تقريبًا 50000 التنزيلات حدثت العديد من الحزم الضارة قبل إزالة الكثير منها، على الرغم من بقاء بعضها متصلاً بالإنترنت. كما استخدم المتسللون حسابات التوظيف المزيفة على LinkedIn، وهو تكتيك يتوافق مع حملات التجسس الإلكتروني السابقة لكوريا الديمقراطية التي وثقتها وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) وتم الإبلاغ عنها سابقًا في فك التشفير. ويعتقد المحققون أن الأهداف النهائية كانت عبارة عن أجهزة تحمل بيانات اعتماد الوصول والمحافظ الرقمية.
في حين أن النتائج التي توصلت إليها شركة سوكيت تتوافق مع التقارير الواردة من مجموعات أمنية أخرى ووكالات حكومية تربط كوريا الشمالية بسرقة العملات المشفرة التي يبلغ مجموعها مليارات الدولارات، إلا أن التحقق المستقل من كل التفاصيل – مثل العدد الدقيق للحزم المخترقة – لا يزال معلقًا. ومع ذلك، فإن الأدلة والأنماط الفنية الموصوفة تتفق مع الحوادث السابقة المنسوبة إلى بيونغ يانغ.
قال مالك Npm، GitHub، إنه يزيل الحزم الضارة عند اكتشافها ويعمل على تحسين متطلبات التحقق من الحساب. لكن يقول الباحثون إن النمط هو ضرب الخلد: قم بإزالة مجموعة واحدة من الحزم الضارة، وسرعان ما تحل مئات أخرى مكانها.
بالنسبة للمطورين وشركات العملات المشفرة الناشئة، تؤكد هذه الحلقة مدى ضعف سلسلة توريد البرامج. يحث الباحثون الأمنيون الفرق على تعامل مع كل أمر “npm install” على أنه تنفيذ محتمل للتعليمات البرمجية، وفحص التبعيات قبل دمجها في المشاريع، واستخدام أدوات الفحص الآلي للقبض على الحزم التي تم العبث بها. تظل قوة النظام البيئي مفتوح المصدر -أي انفتاحه- هي أكبر نقاط ضعفه عندما يقرر الخصوم استخدامه كسلاح.
