كشفت تقارير أمنية حديثة أن مجموعة التهديدات المستمرة المتقدمة (APT) المعروفة بوقوفها خلف حملة "المقابلة المعدية" (Contagious Interview)، توسع من نشاطها داخل نظام مكتبات npm مفتوح المصدر، عبر نشر حزم خبيثة تستهدف مطوري البرمجيات وتحمل برمجية التجسس BeaverTail وأداة جديدة لتحميل برامج الوصول عن بُعد (RAT loader).

ووفقًا لتقرير صادر عن الباحث الأمني كيريل بويتشينكو من شركة Socket، فإن العينات الجديدة تستخدم تشفيرًا بصيغة السلاسل السداسية (hexadecimal string encoding) بهدف التهرب من أدوات الفحص الآلي والمراجعات اليدوية، في تكتيك يبرز تطور أساليب التمويه لدى القراصنة.

كيف تستخدم كوريا الشمالية الذكاء الاصطناعي في عمليات الاحتيال والقرصنة الإلكترونية؟مقابلات عمل زائفة لاستهداف المطورين

تهدف الحملة إلى التسلل إلى أنظمة المطورين من خلال التنكر على هيئة فرص عمل أو مقابلات توظيف، ثم سرقة البيانات الحساسة، والاستيلاء على الأصول المالية، والحفاظ على وجود طويل الأمد داخل الأنظمة المصابة.

وقد تبين أن إحدى الحزم الخبيثة المسماة dev-debugger-vite تستخدم عنوانًا للتحكم والسيطرة (C2) سبق وتم رصده من قبل شركة SecurityScorecard ضمن حملة أطلق عليها اسم Phantom Circuit نسبت إلى مجموعة لازاروس،  وهي مجموعة قرصنة مدعومة من كوريا الشمالية في ديسمبر 2024.

الحزم الخبيثة المكتشفة حتى الآن

فيما تم  تحميل الحزم الخبيثة  أكثر من 5,600 مرة قبل أن تزال من منصة npm.

من الملاحظ أن بعض هذه الحزم مثل icloud-cod، تستضيف شيفرتها على منصّة Bitbucket بدلًا من GitHub، وهي خطوة غير معتادة، وتشير إلى محاولة القراصنة تنويع مصادر التحميل. 

كما أن الحزمة الأخيرة تحتوي على مجلد يُدعى eiwork_hire، في تأكيد لاستراتيجية استخدام موضوع التوظيف كطُعم للاختراق.

برمجيات RAT جديدة ومنهجية متطورة

رغم تعدد التغييرات في الشيفرة، إلا أن الوظيفة الأساسية للبرمجيات داخل هذه الحزم تتمثل في تحميل برمجيات التحكم عن بعد (RAT) من خوادم خارجية.

 وقد رصد استخدام BeaverTail أيضًا في تحميل باب خلفي جديد غير موثق سابقًا يعرف باسم Tropidoor، وذلك ضمن حملة تصيّد تستهدف المطورين في كوريا الجنوبية.

وبحسب شركة AhnLab الكورية الجنوبية، فإن هذه الهجمات تتم من خلال رسائل بريد إلكتروني احتيالية تدعي الانتماء لشركات توظيف مثل AutoSquare، وتطلب من المستلم تحميل مشروع من Bitbucket ومراجعته، ليكتشف لاحقًا أن المشروع يحتوي على حزمة npm تضم ملف tailwind.config.js (الذي يحمل BeaverTail) وملف DLL خبيث يُسمى car.dll.

يستخدم Tropidoor كأداة خبيثة تعمل في ذاكرة النظام، وتتواصل مع خوادم خارجية لتنفيذ تعليمات خبيثة، منها سرقة الملفات، جمع معلومات عن الأقراص والمجلدات، تشغيل أو إنهاء العمليات، بالاضافة إلى حذف أو مسح الملفات باستخدام بيانات فارغة أو عشوائية

ومن اللافت أن Tropidoor يستخدم أوامر نظام ويندوز مباشرة، مثل: schtasks, ping, reg، وهي سمة رُصدت سابقًا في برمجيات أخرى لمجموعة لازاروس، مثل LightlessCan وBLINDINGCAN.

تحذيرات أمنية

قالت شركة AhnLab:"ينبغي للمستخدمين توخّي الحذر ليس فقط من مرفقات البريد الإلكتروني، بل أيضًا من الملفات التنفيذية القادمة من مصادر غير موثوقة".

وفي ختام التقرير، أكد الباحث بويتشينكو أن مجموعة "المقابلة المعدية" تُظهر إصرارًا مستمرًا على تطوير وتوسيع أدواتها، عبر استخدام أسماء مستخدمين جديدة، ونشر البرمجيات الخبيثة في GitHub وBitbucket، وإعادة توظيف أدوات مثل BeaverTail وInvisibleFerret إلى جانب نسخ محسّنة من برمجيات RAT.

المصدر: صدى البلد

كلمات دلالية: قرصنة برمجية التجسس المزيد

إقرأ أيضاً:

3676 شركة جديدة مسجلة في «راكز» بنمو 23% خلال الربع الأول


رأس الخيمة (الاتحاد)
سجلت هيئة مناطق رأس الخيمة الاقتصادية «راكز»، نمواً بنسبة 23% في عدد الشركات الجديدة المسجلة خلال الربع الأول من عام 2025 مقارنة بالفترة نفسها من عام 2024، حيث انضمت 3,676 شركة جديدة إلى مجتمع الأعمال المزدهر في الإمارة.
ويأتي هذا النمو في إطار ديناميكية اقتصادية واسعة تدعمها حكومة مستقرة وبنية تحتية متقدمة، مما يعزّز مكانة «راكز» كوجهة مفضلة للمستثمرين الباحثين عن فرص واعدة في بيئة محفزة على النمو وعالية الكفاءة.
وأعرب رامى جلاد الرئيس التنفيذي لمجموعة «راكز»، عن سعادته بمواصلة هذا الزخم في عام 2025 مع انضمام آلاف الشركات الجديدة إلى «راكز» لإطلاق وتوسيع عملياتها، لافتا إلى أن هذا النمو ثقة يعكس المستثمرين في منظومة المجموعة، بجانب التزامها المستمر بتقديم حلول بسيطة ومرنة وفعالة من حيث التكلفة، تلبي احتياجات مجتمع الأعمال العالمي المتغيرة.وأشار إلى أن المنطقة الاقتصادية تستمر في جذب المستثمرين من مختلف أنحاء العالم، لاسيما من الهند وباكستان والمملكة المتحدة ومصر وفرنسا، مما يعكس قوة السياسات الداعمة للأعمال في رأس الخيمة، وسلاسة الإجراءات، والربط الأستراتيجي مع الأسواق العالمية.
وتقود قطاعات الخدمات، والأنشطة التجارية، والتجارة العامة هذا التوسع خلال العام الجاري، حيث شكلت الشركات الخدمية بما في ذلك شركات الاستشارات والتسويق وتقنية المعلومات وتطوير البرمجيات نسبة 38% من إجمالي التسجيلات، فيما جاءت الأنشطة التجارية بنسبة 26%، والتجارة العامة بنسبة 13%.ومع تقدم عام 2025، تواصل «راكز» التزامها بتمكين الأعمال ورواد الأعمال، ودفع عجلة التقدم الاقتصادي المستدام، وضمان استمرار رأس الخيمة ودولة الإمارات كمراكز عالمية للاستثمار.

أخبار ذات صلة %131 نمو عدد الشركات المسجلة في «راكز» "راكز" تعزز العلاقات الاقتصادية بين الإمارات وبريطانيا

مقالات مشابهة

  • “خلال شهرين”.. ترتيبات لإستنئاف عمل مجموعة شركة جياد الهندسية من الجزيرة
  • شفق نيوز تفتح ملف الأورام الخبيثة ومعاناة محاربي السرطان في بغداد (صور)
  • أمطار شمالية وأتربة في الجنوب الشرقي.. الأرصاد تحذر من طقس متقلب
  • 3676 شركة جديدة مسجلة في «راكز» بنمو 23% خلال الربع الأول
  • إطلاق كيا EV9 GT الكهربائية موديل 2026 بهذه المهام .. تفاصيل
  • محكمة نيجيرية تصادر 73 عقارًا مرتبطا بشبكة قرصنة صينية
  • كيف تبلغ سن الـ70 بصحة مثالية؟ ابدأ بهذه التغييرات الذهبية اليوم
  • لمواجهة التهديدات الأمريكية.. تيك توك تستعد لاختراق مجال التسوق الإلكتروني باليابان
  • لطلاب الثانوية العامة 2025.. روابط تحميل نماذج استرشادية جديدة لـ امتحان الكيمياء
  • الأردن..تشريعات جديدة لتحويل وقود السيارات إلى الغاز الطبيعي