قراصنة كوريون يستغلون حملات توظيف وهمية لنشر برمجيات خبيثة

كشف خبراء الأمن السيبراني عن حملة احتيال جديدة تستهدف المطورين، تديرها مجموعة كورية شمالية تُعرف باسم Graphalgo.

تعتمد الحملة على نشر إعلانات وظائف وهمية، حيث يطلب من المتقدمين إكمال مهام برمجية تحتوي على برمجيات خبيثة مخفية، تستهدف بشكل خاص المطورين العاملين بلغة JavaScript وPython، وبالأخص من لديهم خبرة في العملات المشفرة.

خدعة الوظائف الوهمية

أوضحت شركة ReversingLabs أن الحملة نشطة منذ مايو 2025، حيث تنتحل المجموعة صفة شركات مختصة بال blockchain وتداول العملات الرقمية، وتعلن عن وظائف مزيفة على منصات مثل "لينكدإن" و"فيسبوك" و"ريديت".

يقوم المتقدم لأداء المهمة التقنية عادةً بتصحيح أو تحسين مشروع برمجي نموذجي، لكن المهمة تحتوي على تبعية خبيثة مخفية داخل مستودعات موثوقة مثل npm وPyPI.

عند تشغيل الكود، تقوم التبعية بتثبيت Trojan وصول عن بُعد يتيح للمهاجم التحكم الكامل في الجهاز دون علم المستخدم.

وفي تقريرهم، أشار الخبراء إلى أن 192 حزمة برمجية ضارة مرتبطة بGraphalgo، مثل حزمة bigmathutils التي أصبحت خبيثة ابتداءً من الإصدار 1.1.0 ثم حُذفت لتجنب الكشف.

سيطرة كاملة على الأجهزة المستهدفة

البرمجيات الخبيثة تمكن المهاجمين من تنفيذ أوامر عشوائية، واستخراج الملفات، ومراقبة العمليات الجارية، ونشر حمولات إضافية.

كما تتحقق من وجود إضافة MetaMask على المتصفح، ما يشير إلى دوافع مالية واضحة.

وتستخدم البرمجيات وسيلة اتصال محمية بالرموز، مما يصعّب مراقبتها خارجيًا.

صلة بمجموعة Lazarous

يعتقد الخبراء أن حملة Graphalgo مرتبطة بمجموعة Lazarous الشهيرة بهجمات الاحتيال عبر إعلانات الوظائف.

ويكرر الخبراء تحذيرهم للمطورين بضرورة التحقق دائمًا من سلامة الحزم البرمجية قبل تثبيتها على أجهزتهم لتجنب الوقوع في الفخ.