مجموعة لازاروس تواصل استهداف المطورين ببرمجيات خبيثة لسرقة العملات الرقمية
تواجه صناعة البرمجيات تهديدًا متزايدًا مع اكتشاف حملة قرصنة جديدة تنفذها مجموعة لازاروس، المدعومة من كوريا الشمالية. هذه المجموعة معروفة بهجماتها المتكررة التي تستهدف المطورين عبر نشر برمجيات خبيثة تهدف إلى سرقة بيانات تسجيل الدخول، والاستحواذ على مفاتيح الوصول، وسحب الأصول الرقمية من محافظ العملات المشفرة.
كيف تعمل الهجمات؟
تعتمد هذه الهجمات على أسلوب يُعرف باسم typosquatting، حيث تنشئ المجموعة حزم برمجية تحمل أسماء مشابهة لأدوات شهيرة يستخدمها المطورون يوميًا. هذا التشابه يسهل على المطورين تثبيتها عن طريق الخطأ، خاصة عند البحث عن مكتبات جديدة لمشاريعهم. بمجرد تثبيت هذه الحزم، تبدأ في جمع بيانات حساسة مثل بيانات تسجيل الدخول، وسجل التصفح، وملفات التعريف المخزنة في المتصفحات الشهيرة مثل Chrome وBrave وFirefox.
إضافةً إلى ذلك، تعمل هذه الحزم على استهداف المحافظ الرقمية المخزنة محليًا، خصوصًا Solana وExodus، حيث تقوم بسرقة البيانات المخزنة في ملفات التكوين وإرسالها إلى خوادم يديرها المهاجمون. وفي بعض الحالات، يتم تثبيت أبواب خلفية تتيح للقراصنة الوصول إلى النظام المصاب لفترات طويلة دون أن يلاحظ المستخدم أي نشاط مشبوه.
مدى خطورة هذه الهجمات؟
تم تحميل هذه الحزم أكثر من 330 مرة قبل اكتشافها، مما يعكس خطورة هذه الطريقة في استهداف الضحايا. وعلى الرغم من أن هذا الرقم قد يبدو صغيرًا، إلا أن تأثيره الفعلي أكبر بكثير، نظرًا لأن هذه الحزم قد دُمجت في مشاريع برمجية أكبر، مما يعني أن عددًا أكبر من المستخدمين قد تعرض للخطر دون علمهم.
بجانب التأثير على الأفراد، يمكن لهذه الهجمات تهديد الشركات الناشئة والمؤسسات الكبرى التي تعتمد على البرمجيات مفتوحة المصدر. فإذا تم اختراق أحد المطورين العاملين على مشروع حساس، فقد يتمكن المهاجمون من إدخال شيفرات خبيثة في منتجات برمجية واسعة الانتشار، مما يؤدي إلى تعريض آلاف المستخدمين للخطر.
أبرز عمليات الاختراق السابقة واستجابة الجهات الأمنية
مجموعة لازاروس ليست جديدة على هذه الأساليب، إذ سبق لها تنفيذ عمليات قرصنة ضخمة استهدفت منصات العملات الرقمية والبنوك الإلكترونية. ومن بين أبرز عملياتها:
- سرقة 1.4 مليار دولار من منصة Bybit.
- اختراق CoinEx وسحب 27 مليون دولار.
- تنفيذ هجوم على كازينو العملات الرقمية Stake بقيمة 41 مليون دولار.
- الاشتباه في تورطها في اختراق WazirX الهندية بقيمة 235 مليون دولار.
ردًّا على هذه التهديدات، قامت منصات أمنية مثل GitHub بحذف المستودعات التي تحتوي على الحزم الخبيثة بعد تلقيها تقارير من الباحثين الأمنيين. ومع ذلك، يحذر الخبراء من أن إزالة هذه الحزم لا تعني انتهاء الخطر، حيث يمكن لمجموعة لازاروس اللجوء إلى منصات أخرى مثل PyPI وRubyGems لنشر برمجياتها الضارة.
كيف يمكن حماية المستخدمين؟
لحماية بيئات العمل من هذه الهجمات، ينصح الخبراء المطورين والمستخدمين باتخاذ التدابير التالية:
- التأكد من مصدر البرمجيات قبل تنزيلها أو تثبيتها، خصوصًا عند التعامل مع مكتبات غير معروفة.
- استخدام أدوات أمنية متقدمة لفحص المكتبات البرمجية والكشف عن أي تعليمات برمجية مشبوهة.
- مراقبة الاتصالات الخارجية للبرامج المثبتة، حيث قد تكشف عمليات الاتصال غير المعتادة عن محاولات لتسريب البيانات.
- الحفاظ على تحديث الأنظمة والبرامج، لأن العديد من الهجمات تعتمد على استغلال ثغرات قديمة لم يتم إصلاحها.
- الحد من الصلاحيات الممنوحة للبرامج، لأن منح الأذونات الزائدة قد يسهل تنفيذ البرمجيات الخبيثة لعمليات ضارة.
تأثير هذه الهجمات على الصناعة
مع تزايد الهجمات على سلاسل التوريد البرمجية، أصبح من الضروري تحسين معايير الأمان في المستودعات مفتوحة المصدر. تعتمد العديد من الشركات على هذه المكتبات، مما يعني أن أي اختراق في إحدى هذه المكتبات قد يؤدي إلى تأثير واسع النطاق. لذلك، تحتاج الشركات والمؤسسات التقنية إلى اعتماد سياسات أمنية صارمة تشمل تدقيقًا منتظمًا للكود البرمجي المستخدم في مشاريعها.
خاتمة
تواصل مجموعة لازاروس تطوير أساليبها الاحتيالية لاستهداف المطورين وسرقة العملات الرقمية. ومع كل هجوم جديد، تثبت قدرتها على التكيف واستخدام تقنيات متطورة لتحقيق أهدافها. لذلك، من الضروري توخي الحذر واتخاذ تدابير وقائية فعالة للحد من خطر هذه الهجمات. ورغم الجهود الأمنية المستمرة، يبقى الوعي التقني وسلامة الممارسات الأمنية هما خط الدفاع الأول ضد مثل هذه التهديدات. كما أن التعاون بين منصات البرمجيات مفتوحة المصدر والجهات الأمنية يمكن أن يساعد في تقليل انتشار هذه البرمجيات الضارة، وحماية المطورين والمستخدمين من المخاطر المتزايدة.
