أحدث الأخبار مع #Bitbucket
موجز مصر
١٠-٠٤-٢٠٢٥
- موجز مصر
قراصنة كوريا الشمالية يغزون نظام 'npm' بفيروس 'ذيل القندس'
كشفت تقارير أمنية حديثة عن موجة جديدة من الهجمات الإلكترونية التي تقودها مجموعة قراصنة من كوريا الشمالية. هذه المرة، استهدف القراصنة نظام npm، الذي يستخدمه مطورو البرامج بشكل شائع، من خلال إصدار 11 حزمة خبيثة تحتوي على برنامج BeaverTail الخبيث وبرنامج تنزيل مخفي يسمح بالتحكم عن بعد في الأنظمة المخترقة. وأوضح الباحث الأمني في شركة 'سوكيت' كيريل بويشينكو، أن القراصنة استخدموا أساليب تشفير متقدمة لإخفاء التعليمات البرمجية في الحزم، وبالتالي تجاوزوا أدوات الكشف الآلية وعمليات المراجعة اليدوية. ويعكس هذا تطورًا في أساليب التعتيم والإخفاء، وفقًا لتقرير نشره موقع thehackernews. تم تنزيل الحزم أكثر من 5600 مرة قبل إزالتها، وكانت بمثابة أدوات تطوير مثل dev-debugger-vite، وevents-utils، وicloud-cod، وبعضها مرتبط بمستودعات Bitbucket بدلاً من GitHub – وهو سلوك غير تقليدي مصمم لتضليل وكالات الأمن. وبحسب التقرير، تحتوي هذه الحزم على تعليمات برمجية خبيثة يمكنها تحميل وتنفيذ تعليمات JavaScript البرمجية عن بعد باستخدام وظيفة eval(). يتيح هذا للمتسللين التحكم الكامل تقريبًا في الأجهزة المصابة ويسمح لهم بتنزيل برامج ضارة إضافية مثل InvisibleFerret و Tropidoor. ويبدو أن هذه الحملة جزء من حملة أوسع نطاقاً تسمى 'المقابلات المعدية'، حيث يقوم المتسللون بإغراء الضحايا بعروض عمل وهمية. يبدو أن أحد الهجمات بدأ برسالة بريد إلكتروني مزيفة من شركة تسمى AutoSquare، تطلب من الضحية تنزيل مشروع من Bitbucket. وتبين لاحقًا أن المشروع كان بمثابة غطاء لتوزيع BeaverTail وبرنامج تنزيل DLL الخبيث. وكشفت التحقيقات أيضًا أن Tropidoor، أحد مكونات هذه الهجمات، يعمل حصريًا في ذاكرة النظام، ويجمع البيانات الحساسة وينفذ أوامر Windows مثل 'schtasks' و'reg' و'ping' – وهي تقنيات استخدمت سابقًا في هجمات شنتها مجموعة Lazarus، وهي مجموعة هجوم إلكتروني سيئة السمعة مرتبطة بنظام بيونج يانج. ويحذر خبراء الأمن السيبراني من هذه الهجمات المتطورة، ويؤكدون على ضرورة الحذر من الروابط والمرفقات غير المعروفة، وخاصة تلك التي تأتي على شكل عروض عمل أو مشاريع تطوير مفتوحة المصدر. مصدر:
العربية
٠٦-٠٤-٢٠٢٥
- العربية
قراصنة كوريا الشمالية يغزون نظام "npm" بفيروس "ذيل القندس"
كشفت تقارير أمنية حديثة عن موجة جديدة من الهجمات السيبرانية تقودها مجموعة قرصنة تابعة لكوريا الشمالية. واستهدف القراصنة هذه المرة نظام npm واسع الاستخدام من قبل مطوري البرمجيات، عبر نشر 11 حزمة خبيثة تتضمن برمجية "BeaverTail" ووسيلة تحميل خفية تتيح التحكم عن بُعد في الأنظمة المخترقة. وأوضح الباحث الأمني في شركة Socket، كيريل بويتشينكو، أن القراصنة استخدموا طرق تشفير متقدمة لإخفاء الشيفرات داخل الحزم، في محاولة لتجاوز أدوات الكشف الآلي وعمليات المراجعة اليدوية، مما يعكس تطورًا في أساليب التعتيم والتخفي، بحسب تقرير نشره موقع "thehackernews" واطلعت عليه "العربية Business". الحزم التي تم تحميلها أكثر من 5600 مرة قبل إزالتها، انتحلت صفات أدوات تطويرية مثل dev-debugger-vite وevents-utils وicloud-cod، وتبين ارتباط بعضها بمستودعات Bitbucket بدلًا من GitHub، في سلوك غير تقليدي يهدف إلى تضليل الجهات الأمنية. ووفقًا للتقرير، فإن هذه الحزم تحتوي على شيفرات خبيثة قادرة على تحميل وتنفيذ أكواد JavaScript عن بُعد باستخدام دالة eval()، وهو ما يمنح القراصنة سيطرة شبه كاملة على الأجهزة المصابة، ويُسهّل تحميل برمجيات ضارة إضافية مثل InvisibleFerret وTropidoor. ويبدو أن هذه الحملة ليست معزولة، بل جزء من حملة أوسع تُعرف باسم "المقابلات المعدية"، حيث يستدرج القراصنة الضحايا تحت غطاء فرص توظيف وهمية. وتبين أن إحدى الهجمات بدأت برسالة بريد إلكتروني مزيفة من شركة تدعى "AutoSquare"، دعت فيها الضحية إلى تحميل مشروع من "Bitbucket"، ليتبين لاحقًا أن المشروع مجرد غطاء لنشر BeaverTail وأداة تحميل خبيثة لملفات DLL. التحقيقات أظهرت أيضًا أن برنامج Tropidoor – أحد مكونات هذه الهجمات – يعمل في ذاكرة النظام فقط، ويقوم بجمع بيانات حساسة وتشغيل أوامر نظام ويندوز مثل schtasks وreg وping، وهي تقنيات سبق استخدامها في هجمات نفذتها مجموعة "Lazarus"، الجناح السيبراني الشهير المرتبط بنظام بيونغ يانغ. ويحذر خبراء الأمن السيبراني من هذه الهجمات المتطورة، مشددين على ضرورة الحذر من الروابط والمرفقات المجهولة، خاصة تلك التي تأتي متخفية بفرص توظيف أو مشاريع تطوير مفتوحة المصدر.
