ممثلون من كوريا الشمالية يوجهون انتباههم إلى المطورين من خلال مشاريع ملتزمة في VS Code

حملة جديدة من الهجمات السيبرانية كشفت أن مجموعات مرتبطة بكوريا الشمالية توجه هجماتها بشكل خاص نحو مطوري البرمجيات باستخدام تكتيكات خداع متطورة. يستخدم هؤلاء الفاعلون الخبيثون فرص عمل وهمية ومشاريع تبدو شرعية لجذب محترفي التطوير، مما يعرضهم لمخاطر أمنية خطيرة.

استراتيجية الخداع الموجهة للمطورين

لقد قام مهاجمو كوريا الشمالية بتحسين منهجية خبيثة بشكل خاص: ينشرون مشاريع ضارة في Visual Studio Code تُعرض كمبادرات شرعية. بمجرد أن يفتح مطور هذه الملفات، يتم تنفيذ الكود المخترق تلقائيًا دون الحاجة إلى إذن المستخدم. تستغل هذه التقنية الثقة التي يضعها المحترفون في منصات التطوير المعتمدة، مما يجعل المطورين أهدافًا ضعيفة أمام حملات الهندسة الاجتماعية.

الآلية التقنية: الأبواب الخلفية والتحكم عن بعد

يعمل هذا النوع من الهجمات عبر طبقات معقدة من التشفير. تسترجع السكريبتات الخبيثة رمز JavaScript إضافي من خوادم Vercel، مما يسمح للمهاجمين بنشر أبواب خلفية (backdoors) دون أن يكتشف المستخدم النشاط الأولي. بمجرد تثبيتها، تتيح هذه الأبواب الخلفية تنفيذ الكود عن بعد، مما يمنح المهاجمين وصولاً كاملاً ومستمرًا إلى الأنظمة المخترقة. تعقيد هذه البنية المعيارية يصعب اكتشافها، وتسمح بالتحديثات المستمرة للبرمجيات الخبيثة.

لماذا مرّ هذا الهجوم دون اكتشاف لعدة أشهر

على الرغم من أن مجتمع الأمن اكتشف هذه الطريقة منذ عدة أشهر، إلا أن الكود الخبيث والتفاصيل التقنية نُشرت في مستودع GitHub المسمى ‘VSCode-Backdoor’، إلا أن التهديد لم يثر استجابة واسعة حتى الأسابيع الأخيرة. هذا التأخير في الوعي العام يمثل خطرًا كبيرًا، حيث استمر المهاجمون خلال تلك الفترة في تحسين تقنياتهم وتوسيع نطاق عملياتهم.

التداعيات على أمن النظام البيئي

المطورون الذين يستخدمون Visual Studio Code ويعملون مع مستودعات مفتوحة يواجهون خطرًا مرتفعًا. تؤكد تعقيدات استراتيجية كوريا الشمالية على ضرورة تنفيذ تدابير أمنية إضافية، بما في ذلك التحقق من مصادر الكود، تدقيقات أمنية للمشاريع التي يتم تنزيلها، والمراقبة المستمرة للسلوكيات غير الطبيعية في بيئات التطوير.