التخفي في السحابة: كيف حوّل قراصنة كوريا الشمالية GitHub إلى أداة تجسس على الشركات

في يوم عادي داخل شركة كورية جنوبية، ينقر موظف على ما يبدو أنه مستند غير ضار. بعد ثوانٍ، يُفتح ملف PDF مألوف - ولا شيء يوحي بوجود مشكلة. لكن خلف الكواليس، تبدأ أسرار الشركة الرقمية بالتسرب، محمولة عبر واحدة من أكثر منصات المطورين موثوقية في العالم: GitHub. ليست هذه لقطة من فيلم إثارة سيبراني، بل واقع كشفته FortiGuard Labs، مع تصعيد قراصنة كوريا الشمالية لعبة التجسس لديهم بدرجة غير مسبوقة من التخفي.

الوجه الجديد للتجسس السيبراني

تتبّع باحثون في FortiGuard Labs التابعة لـFortinet حملة تجسس متقدمة إلى جهات كورية شمالية - يُشتبه في أنها تشمل مجموعات سيئة السمعة مثل Kimsuky أو APT37 أو Lazarus. وتُعد حقيبتهم الأدواتية الأخيرة درسًا متقنًا في الخداع والدقة. فبدلًا من نشر برمجيات خبيثة واضحة، يستغل هؤلاء القراصنة الأدوات المدمجة في Microsoft Windows، ليمتزجوا بسلاسة في روتين العمل اليومي داخل الشركات.

يبدأ الهجوم عادةً بملف LNK بسيط - اختصار يبدو بريئًا، لكنه عند النقر عليه يطلق ملف PDF تمويهيًا لإلهاء المستخدم. وفي الوقت نفسه، ينطلق نص PowerShell مخفي إلى العمل. غير أن الأمر ليس اقتحامًا متهورًا وسرقة سريعة. إذ يتحقق النص أولًا من مؤشرات المراقبة الرقمية - مثل Wireshark أو الآلات الافتراضية - ويتوقف إذا شعر بوجود فخ. وإن لم يجد ذلك، يستخدم حيلًا تشفيرية لتشويش أثره، فيبقى غير مرئي لمعظم حلول مكافحة الفيروسات.

ما يميز هذه الحملة هو استخدامها لـGitHub، المنصة المرتبطة بالبرمجة الشرعية وتطوير البرمجيات. فبدلًا من الاعتماد على خوادم مشبوهة، يستخدم القراصنة مستودعات GitHub خاصة (مرتبطة بحسابات مثل motoralis وPigresy80 وbrandonleeodd93-blip) لإرسال البيانات المسروقة واستقبالها. هذا المرور، المتنكر على هيئة نشاط سحابي اعتيادي، غالبًا ما يتسلل حتى عبر أنظمة أمن الشركات المتقدمة.

وتلعب الهندسة الاجتماعية دورًا حاسمًا: إذ يستدرج المهاجمون الضحايا بطُعوم تصيّد متنوعة - أوامر شراء مزيفة، ووثائق تقنية، وغيرها - لتوسيع نطاقهم وزيادة فرص نجاحهم. وبمجرد الدخول، يرسخون الاستمرارية عبر جدولة “استيقاظات” منتظمة لبرمجيتهم الخبيثة، متنكرة كمهام تقنية، لضمان وصول مستمر إلى الأنظمة المخترقة.

يحذر خبراء الصناعة من أن نهج “الاعتماد على أدوات النظام” هذا يمثل تحولًا خطيرًا. فكما يشير Jason Soroko من Sectigo، بات المهاجمون يحولون أدوات الإدارة الخاصة بالمنظمات ضدها، ما يجعل الرصد والدفاع أصعب بشكل مضاعف. ويؤكد Jamie Boote من Black Duck حجم التهديد: حتى منصات الإنتاجية الموثوقة مثل GitHub يمكن تسليحها لتصبح مسارات للهجوم.

الخلاصة: عندما تتحول الثقة إلى سلاح

تُعد هذه الحملة تذكيرًا صارخًا بأن الثقة هي أخطر ثغرة في حرب الفضاء السيبراني الحديثة. فمن خلال الاختباء على مرأى من الجميع - باستخدام أدوات يومية ومنصات محترمة - رفع قراصنة كوريا الشمالية سقف التحدي أمام المدافعين في كل مكان. وبالنسبة للشركات الكورية الجنوبية، باتت اليقظة تعني التشكيك حتى في أكثر الملفات وحركة السحابة اعتيادية. وفي عالم تتلاشى فيه الحدود بين الإنتاجية والخطر، لا يحمي أسرار الشركات سوى ثقافة من الشك الدائم بلا هوادة.

WIKICROOK

• ملف LNK: ملف LNK هو اختصار في ويندوز يربط بملف أو برنامج. يمكن للمهاجمين استغلال ملفات LNK لتشغيل أوامر مخفية أو برمجيات خبيثة.
• PowerShell: PowerShell أداة برمجة نصية في ويندوز تُستخدم للأتمتة، لكن المهاجمين غالبًا ما يستغلونها لتنفيذ أعمال خبيثة بسرية.
• مستودع GitHub: مستودع GitHub هو مجلد عبر الإنترنت يخزن فيه المطورون الشيفرة ويديرونها ويتشاركونها، لكنه قد يُساء استخدامه أيضًا لتوزيع برمجيات مزيفة.
• الهندسة الاجتماعية: الهندسة الاجتماعية هي استخدام الخداع من قبل القراصنة لخداع الناس كي يكشفوا معلومات سرية أو يوفروا وصولًا غير مصرح به إلى الأنظمة.
• Living off the land: تعني “Living Off the Land” أن المهاجمين يستخدمون أدوات النظام الموثوقة والمضمنة لأغراض خبيثة، ما يجعل أنشطتهم أصعب في الاكتشاف.