Netcrook Logo
👤 AGONY
🗓️ 21 Jan 2026   🌍 Asia

فخّ شيفرة بيونغ يانغ: كيف يتسلّل قراصنة كوريا الشمالية إلى عالم المطوّرين

عملاء سيبرانيون متقدّمون من كوريا الشمالية يحوّلون مشاريع Visual Studio Code إلى سلاح لاستهداف مهندسي البرمجيات غير المرتابين حول العالم.

تبدأ القصة كأي عرض عمل واعد - يتواصل مُجنِّد، تُشارك مهمة تقييم تقني، ويُطلب من المطوّر المتفائل استنساخ مشروع من GitHub. لكن خلف هذا المسار الذي يبدو اعتياديًا يتربّص نوع جديد من الهجمات السيبرانية، يحوّل أدوات المطوّرين الموثوقة إلى باب خلفي لنخبة قراصنة كوريا الشمالية.

حقائق سريعة

  • قراصنة كوريا الشمالية ينشرون أبوابًا خلفية عبر مشاريع Visual Studio Code (VS Code) خبيثة.
  • يُستدرَج الضحايا عبر تقييمات توظيف مزيفة، غالبًا على منصات مثل LinkedIn وNotion.
  • تستغل الهجمات ملفات تهيئة المهام في VS Code لتنفيذ برمجيات خبيثة مخفية عند فتح المشروع.
  • يمكن للبرمجيات الخبيثة جمع ملفات حساسة، وتسجيل ضغطات المفاتيح، وتعدين العملات المشفّرة، والحفاظ على وصولٍ بعيدٍ دائم.
  • تستهدف هذه الحملات تحديدًا مطوّرين في قطاعات العملات المشفّرة والبلوك تشين والتقنية المالية (Fintech).

تكشف الحملة الأحدث، المرتبطة بعملية Contagious Interview سيئة الصيت، عن ابتكار قراصنة كوريا الشمالية بلا هوادة. وقد تتبّع باحثو الأمن في Jamf Threat Labs وغيرهم سلسلة عدوى متقدّمة: يُخدع المطوّرون لاستنساخ مستودع وفتحه في VS Code، وهو بيئة تطوير متكاملة (IDE) واسعة الاستخدام. ومن دون علم الضحية، تنطلق نصوص مخفية داخل ملفات تهيئة المشروع فور فتح المجلد، مستفيدة من ميزة “runOn: folderOpen”.

وقد صُمّمت الحمولة الخبيثة - التي تحمل الاسمين الرمزيين BeaverTail وInvisibleFerret - لتثبيت أبواب خلفية تُمكّن من تنفيذ الشيفرة عن بُعد، وبصمة النظام، والمراقبة المستمرة. وفي بعض الحالات، تتنكّر البرمجية الخبيثة في هيئة ملفات تدقيق إملائي بريئة، أو تُسلَّم عبر JavaScript مُموَّه يُجلب من نطاقات مستضافة على Vercel. وعلى macOS، يستغل الهجوم أوامر الصدفة لتنزيل الشيفرة وتنفيذها، مع الاستمرار حتى لو أُغلق VS Code.

ولا يتوقف إبداع المهاجمين عند هذا الحد. فعندما تفشل العدوى الأولية، تعمل آليات بديلة: تُنشر تبعيات npm خبيثة، ووحدات تحكم Node.js، ونصوص Python، ما يوسّع نطاق الهجوم. قدرات البرمجية الخبيثة شاملة - إذ يمكنها تسجيل ضغطات المفاتيح، والتقاط لقطات شاشة، والبحث عن المحافظ الرقمية وبيانات الاعتماد، واستبدال عناوين العملات المشفّرة، وحتى تثبيت أدوات وصول عن بُعد مثل AnyDesk.

هذه العمليات ليست عشوائية. فالمجموعات المدعومة من الدولة في كوريا الشمالية تركّز على مطوّرين لديهم وصول إلى بنى تحتية للعملات المشفّرة والتقنية المالية والبلوك تشين - وهي أهداف ثمينة للتجسّس والسرقة المالية معًا. ومن خلال اختراق هؤلاء المطلعين، يكتسب النظام موطئ قدم داخل أنظمة حساسة وملكية فكرية وأصول رقمية، بما يغذّي اقتصاده الخاضع للعقوبات.

تتطور الهجمات باستمرار، مع نواقل عدوى جديدة وتقنيات تمويه مصممة لتفادي الرصد والاندماج بسلاسة في سير عمل المطوّرين. إن إساءة استخدام أدوات موثوقة مثل VS Code تبرز حقيقة مقلقة: في أيدي خصوم مصممين، حتى أكثر البرمجيات ألفة يمكن أن تتحول إلى سلاح.

ومع صقل المجرمين السيبرانيين لتكتيكاتهم، تصبح اليقظة خط الدفاع الأول لكل مطوّر. في المرة القادمة التي يطلب منك فيها مُجنِّد فتح مشروع شيفرة، فكّر: شيفرة مَن التي تُشغّلها حقًا؟

WIKICROOK

  • باب خلفي: الباب الخلفي هو طريقة خفية للوصول إلى حاسوب أو خادم، متجاوزًا فحوصات الأمان المعتادة، وغالبًا ما يستخدمه المهاجمون للحصول على تحكم سري.
  • JavaScript مُموَّه: JavaScript المُموَّه هو شيفرة تُشوَّه عمدًا لإخفاء غايتها الحقيقية، ما يجعل تحليلها أو اكتشاف التهديدات صعبًا على البشر وأدوات الأمن.
  • تهيئة مهام VS Code: تهيئة مهام VS Code تؤتمت الأوامر أو النصوص في Visual Studio Code، ما يبسّط سير العمل ويحسّن الكفاءة للمطوّرين، بما في ذلك مهام الأمن السيبراني.
  • Node.js: Node.js منصة لتشغيل JavaScript خارج المتصفحات، غالبًا على الخوادم. ويمكن استغلالها لتنفيذ برمجيات خبيثة أو أتمتة الهجمات.
  • مُعَدِّن عملات مشفّرة: مُعَدِّن العملات المشفّرة هو برمجية أو عتاد يستخدم موارد الحاسوب لتوليد عملات رقمية، أحيانًا سرًا وعلى حساب المستخدم.
North Korean hackers Visual Studio Code cyberattack
AGONY AGONY
Elite Offensive Security Commander
← Back to news