قراصنة كوريا الشمالية يغزون نظام "npm" بفيروس "ذيل القندس"
كشفت تقارير أمنية حديثة عن موجة جديدة من الهجمات السيبرانية تقودها مجموعة قرصنة تابعة لكوريا الشمالية.
واستهدف القراصنة هذه المرة نظام npm واسع الاستخدام من قبل مطوري البرمجيات، عبر نشر 11 حزمة خبيثة تتضمن برمجية "BeaverTail" ووسيلة تحميل خفية تتيح التحكم عن بُعد في الأنظمة المخترقة.
وأوضح الباحث الأمني في شركة Socket، كيريل بويتشينكو، أن القراصنة استخدموا طرق تشفير متقدمة لإخفاء الشيفرات داخل الحزم، في محاولة لتجاوز أدوات الكشف الآلي وعمليات المراجعة اليدوية، مما يعكس تطورًا في أساليب التعتيم والتخفي، بحسب تقرير نشره موقع "thehackernews" واطلعت عليه "العربية Business".
الحزم التي تم تحميلها أكثر من 5600 مرة قبل إزالتها، انتحلت صفات أدوات تطويرية مثل dev-debugger-vite وevents-utils وicloud-cod، وتبين ارتباط بعضها بمستودعات Bitbucket بدلًا من GitHub، في سلوك غير تقليدي يهدف إلى تضليل الجهات الأمنية.
ووفقًا للتقرير، فإن هذه الحزم تحتوي على شيفرات خبيثة قادرة على تحميل وتنفيذ أكواد JavaScript عن بُعد باستخدام دالة eval()، وهو ما يمنح القراصنة سيطرة شبه كاملة على الأجهزة المصابة، ويُسهّل تحميل برمجيات ضارة إضافية مثل InvisibleFerret وTropidoor.
ويبدو أن هذه الحملة ليست معزولة، بل جزء من حملة أوسع تُعرف باسم "المقابلات المعدية"، حيث يستدرج القراصنة الضحايا تحت غطاء فرص توظيف وهمية.
وتبين أن إحدى الهجمات بدأت برسالة بريد إلكتروني مزيفة من شركة تدعى "AutoSquare"، دعت فيها الضحية إلى تحميل مشروع من "Bitbucket"، ليتبين لاحقًا أن المشروع مجرد غطاء لنشر BeaverTail وأداة تحميل خبيثة لملفات DLL.
التحقيقات أظهرت أيضًا أن برنامج Tropidoor – أحد مكونات هذه الهجمات – يعمل في ذاكرة النظام فقط، ويقوم بجمع بيانات حساسة وتشغيل أوامر نظام ويندوز مثل schtasks وreg وping، وهي تقنيات سبق استخدامها في هجمات نفذتها مجموعة "Lazarus"، الجناح السيبراني الشهير المرتبط بنظام بيونغ يانغ.
ويحذر خبراء الأمن السيبراني من هذه الهجمات المتطورة، مشددين على ضرورة الحذر من الروابط والمرفقات المجهولة، خاصة تلك التي تأتي متخفية بفرص توظيف أو مشاريع تطوير مفتوحة المصدر.
جرب ميزات الذكاء الاصطناعي لدينا
اكتشف ما يمكن أن يفعله Daily8 AI من أجلك:
التعليقات
لا يوجد تعليقات بعد...
أخبار ذات صلة
العربية
٢١-٠٤-٢٠٢٥
- العربية
5 أسباب تجعل الشركات تفقد الثقة بأجهزتها رغم أنظمة الحماية
في زمن تتسارع فيه الهجمات السيبرانية وتزداد تعقيدًا، لم يعد الاكتفاء بأنظمة الحماية التقليدية كافيًا لتأمين الأجهزة داخل المؤسسات. ورغم استخدام أدوات مثل إدارة الأجهزة المحمولة (MDM) وأنظمة الاستجابة لنقاط النهاية (EDR)، إلا أن الواقع يكشف فجوات خطيرة تجعل هذه الحلول غير كافية بمفردها. تعتمد معظم الهجمات السيبرانية على نقطتين رئيسيتين: بيانات الاعتماد (كلمات المرور) والأجهزة، بحسب تقرير نشره موقع "thehackernews" واطلعت عليه "العربية Business". لم تعد أدوات إدارة الأجهزة وحدها كافية لحماية بيئة العمل الرقمية. المؤسسات بحاجة إلى منظومة متكاملة تبني الثقة مع كل جهاز يتصل بأنظمتها، وتُقيّم المخاطر لحظة بلحظة، وتتخذ القرار الأمني المناسب قبل أن يتحول الخلل إلى اختراق. ورغم وضوح الصورة في تقارير التهديدات المتكررة، إلا أن الحلول تبقى أكثر تعقيدًا مما يبدو. إليكم أبرز 5 ثغرات تهدد أمن الأجهزة، ولماذا "ثقة الجهاز" باتت اليوم ضرورة ملحّة: 1. الأجهزة غير المُدارة رغم فعالية أدوات MDM وEDR في تتبع الأجهزة الرسمية، فإنها تفشل في رصد الأجهزة الشخصية أو أجهزة المقاولين والشركاء، والتي غالبًا ما تتصل بشبكة الشركة دون علم الإدارة. هذه الأجهزة قد تكون بلا تشفير أو حماية محدثة، مما يجعلها نقطة دخول ذهبية للهاكرز. الحل: "ثقة الجهاز" توفّر رؤية شاملة لكل جهاز يتصل بالشبكة، حتى وإن لم يكن مدارًا، باستخدام حلول خفيفة لا تنتهك الخصوصية لكنها ترصد مستوى المخاطر وتمنع الوصول غير الآمن. 2. أنظمة تشغيل خارج التغطية أغلب أدوات الحماية لا تغطي سوى ويندوز وmacOS، بينما تُهمل أنظمة مثل Linux وChromeOS، ما يعرض المؤسسات التي تعتمد على بيئات متنوعة لمخاطر جسيمة. الحل: حلول "ثقة الجهاز" تدعم جميع أنظمة التشغيل، وتمنح مسؤولي الأمن القدرة على تقييم أي جهاز بغض النظر عن بيئته البرمجية. 3. انقطاع بين الأمن والوصول غياب التكامل بين أدوات الحماية وأنظمة الوصول يُحدث فجوة أمنية خطيرة، حيث يمكن لجهاز مخترق أن يحتفظ بحق الوصول حتى بعد رصد التهديد. الحل: تعتمد "ثقة الجهاز" على دمج تقييم المخاطر بشكل مباشر في سياسات الوصول، ما يمنع الأجهزة غير الآمنة من دخول الأنظمة الحساسة فورًا. 4. أخطاء التهيئة: ثغرات يصنعها البشر أبسط خطأ في إعداد أدوات MDM أو EDR يمكن أن يفتح الباب أمام هجمات مدمرة. وغالبًا ما تمر هذه الأخطاء دون أن تُلاحظ حتى تقع الكارثة. الحل: "ثقة الجهاز" تراقب إعدادات التهيئة وتضمن توافقها الكامل مع السياسات الأمنية، ما يمنع الانحرافات التي قد تُستغل. 5. تهديدات لا تراها الأدوات التقليدية تواجه أدوات MDM وEDR صعوبة في رصد التهديدات المتقدمة مثل مفاتيح SSH غير المشفّرة أو التطبيقات التي تحتوي على ثغرات CVE معروفة. الحل: "ثقة الجهاز" تقدّم تقييمًا دقيقًا وفوريًا للحالة الأمنية، وتدعم إجراءات فورية بناءً على هذا التقييم، مما يعزز الحماية إلى أقصى حد.
العربية
٠٦-٠٤-٢٠٢٥
- العربية
قراصنة كوريا الشمالية يغزون نظام "npm" بفيروس "ذيل القندس"
كشفت تقارير أمنية حديثة عن موجة جديدة من الهجمات السيبرانية تقودها مجموعة قرصنة تابعة لكوريا الشمالية. واستهدف القراصنة هذه المرة نظام npm واسع الاستخدام من قبل مطوري البرمجيات، عبر نشر 11 حزمة خبيثة تتضمن برمجية "BeaverTail" ووسيلة تحميل خفية تتيح التحكم عن بُعد في الأنظمة المخترقة. وأوضح الباحث الأمني في شركة Socket، كيريل بويتشينكو، أن القراصنة استخدموا طرق تشفير متقدمة لإخفاء الشيفرات داخل الحزم، في محاولة لتجاوز أدوات الكشف الآلي وعمليات المراجعة اليدوية، مما يعكس تطورًا في أساليب التعتيم والتخفي، بحسب تقرير نشره موقع "thehackernews" واطلعت عليه "العربية Business". الحزم التي تم تحميلها أكثر من 5600 مرة قبل إزالتها، انتحلت صفات أدوات تطويرية مثل dev-debugger-vite وevents-utils وicloud-cod، وتبين ارتباط بعضها بمستودعات Bitbucket بدلًا من GitHub، في سلوك غير تقليدي يهدف إلى تضليل الجهات الأمنية. ووفقًا للتقرير، فإن هذه الحزم تحتوي على شيفرات خبيثة قادرة على تحميل وتنفيذ أكواد JavaScript عن بُعد باستخدام دالة eval()، وهو ما يمنح القراصنة سيطرة شبه كاملة على الأجهزة المصابة، ويُسهّل تحميل برمجيات ضارة إضافية مثل InvisibleFerret وTropidoor. ويبدو أن هذه الحملة ليست معزولة، بل جزء من حملة أوسع تُعرف باسم "المقابلات المعدية"، حيث يستدرج القراصنة الضحايا تحت غطاء فرص توظيف وهمية. وتبين أن إحدى الهجمات بدأت برسالة بريد إلكتروني مزيفة من شركة تدعى "AutoSquare"، دعت فيها الضحية إلى تحميل مشروع من "Bitbucket"، ليتبين لاحقًا أن المشروع مجرد غطاء لنشر BeaverTail وأداة تحميل خبيثة لملفات DLL. التحقيقات أظهرت أيضًا أن برنامج Tropidoor – أحد مكونات هذه الهجمات – يعمل في ذاكرة النظام فقط، ويقوم بجمع بيانات حساسة وتشغيل أوامر نظام ويندوز مثل schtasks وreg وping، وهي تقنيات سبق استخدامها في هجمات نفذتها مجموعة "Lazarus"، الجناح السيبراني الشهير المرتبط بنظام بيونغ يانغ. ويحذر خبراء الأمن السيبراني من هذه الهجمات المتطورة، مشددين على ضرورة الحذر من الروابط والمرفقات المجهولة، خاصة تلك التي تأتي متخفية بفرص توظيف أو مشاريع تطوير مفتوحة المصدر.
العربية
٢٥-٠٣-٢٠٢٥
- العربية
يتوقع التهديدات.. هل ينهي الذكاء الاصطناعي عصر الاختراقات؟
تشهد المؤسسات حول العالم ارتفاعًا غير مسبوق في استخدام تطبيقات البرمجيات كخدمة (SaaS)، إذ يبلغ متوسط عدد التطبيقات التي تعتمد عليها الشركات اليوم نحو 112 تطبيقًا، وفقًا لأحدث الدراسات. لكن هذا التوسع الكبير يأتي مع مخاطر أمنية غير متوقعة، أبرزها ضعف الحماية الناتج عن الإعدادات المختلفة لكل تطبيق، والتكامل مع جهات خارجية، وثغرات تكنولوجيا المعلومات الظلية (Shadow IT). ورغم الجهود الأمنية التقليدية، فإنها لم تعد كافية لمواكبة تعقيدات بيئة SaaS المتنامية، ما يجعل الذكاء الاصطناعي خيارًا حتميًا لتعزيز الأمن السيبراني، بحسب تقرير نشره موقع "thehackernews" واطلعت عليه "العربية Business". وهنا يأتي دور حلول الذكاء الاصطناعي مثل "AskOmni" من شركة AppOmni، التي تعتمد على الذكاء الاصطناعي التوليدي والتحليلات المتقدمة لتوفير رؤية أمنية فورية، والكشف عن التهديدات قبل وقوعها، وتحليل المخاطر بذكاء استثنائي. ثورة أمنية يقودها الذكاء الاصطناعي يُحدث الذكاء الاصطناعي تحولًا جذريًا في أمن البرمجيات كخدمة من خلال: - تقديم رؤى أمنية تفاعلية. - تحليل التهديدات بكفاءة ودقة. - تحويل المعطيات الأمنية المعقدة إلى إجراءات واضحة. - دعم متعدد اللغات لفرق الأمن حول العالم. وفي تجربة حديثة، ساعدت تقنيات الذكاء الاصطناعي في اكتشاف أخطاء تهيئة خطيرة مثل تجاوز قيود IP والمصادقة الذاتية غير المصرح بها في منصات SaaS مثل Salesforce، مما كان سيؤدي إلى ثغرات أمنية جسيمة لو لم يتم رصدها. لم يعد الذكاء الاصطناعي مجرد أداة إضافية، بل أصبح الركيزة الأساسية لحماية البيانات في العصر الرقمي. الشركات التي تستثمر في الأمن المدعوم بالذكاء الاصطناعي ستحظى بميزة تنافسية قوية، تحصّن بياناتها من الهجمات وتضمن استمرارية أعمالها في مواجهة التهديدات السيبرانية المتطورة.
