فهرست محتوا
در تازهترین گزارش منتشرشده توسط BleepingComputer، کمپینی سازمانیافته از «جذبکنندگان شغلی جعلی» شناسایی شده که توسعهدهندگان نرمافزار را از طریق چالشهای برنامهنویسی آلوده به بدافزار هدف قرار میدهد.
این حمله که گفته میشود با بازیگران وابسته به کره شمالی مرتبط است، از اعتماد برنامهنویسان در فرآیند استخدام سوءاستفاده میکند و بدافزار را در قالب تستهای فنی ارسال میکند.
ماجرا چیست؟
مهاجمان با ایجاد شرکتهای جعلی عمدتاً در حوزه بلاکچین و رمزارز در شبکههای اجتماعی مانند لینکدین و ردیت اقدام به انتشار آگهی استخدام میکنند.
پس از جلب اعتماد متقاضیان، از آنها خواسته میشود یک «چالش کدنویسی» را اجرا یا تکمیل کنند. اما این پروژهها شامل وابستگیهایی از مخازن نرمافزاری مانند npm و PyPI هستند که بهصورت مخفیانه بدافزار در خود جای دادهاند.
ابعاد فنی حمله
طبق بررسیها:
- ۱۹۲ پکیج مخرب در npm و PyPI شناسایی شدهاند
- برخی از این پکیجها هزاران بار دانلود شدهاند
- بدافزار پس از نصب، یک تروجان دسترسی از راه دور (RAT) دانلود میکند
- این تروجان امکان اجرای فرمان از راه دور و سرقت اطلاعات را فراهم میکند
در یکی از نمونههای گزارششده، بستهای با نام bigmathutils پس از حدود ۱۰ هزار دانلود، نسخهای آلوده منتشر کرده و سپس برای مخفی کردن ردپا، حذف شده است.
هدف اصلی مهاجمان چیست؟
تحلیل کدهای مخرب نشان میدهد بدافزار حتی وجود افزونه MetaMask را بررسی میکند.
این موضوع نشان میدهد که یکی از اهداف اصلی حمله میتواند موارد زیر باشد:
- سرقت داراییهای دیجیتال
- استخراج کلیدهای خصوصی
- دسترسی به اطلاعات حساس توسعهدهندگان
چرا این حمله خطرناکتر از فیشینگ معمولی است؟
برخلاف حملات ایمیلی رایج، این روش در بستر کاملاً طبیعی و حرفهای «فرآیند استخدام» اجرا میشود.
اجرای کد برای یک توسعهدهنده بخشی عادی از کار است؛ بنابراین سطح شک و بررسی امنیتی کاهش پیدا میکند. همین موضوع این حمله را به نمونهای پیشرفته از مهندسی اجتماعی هدفمند (Targeted Social Engineering) تبدیل کرده است.
سوءاستفاده از اعتماد به مخازن متنباز
مخازنی مانند npm و PyPI ستون فقرات توسعه مدرن هستند. ورود بدافزار به این اکوسیستم، ریسک زنجیره تأمین نرمافزار (Supply Chain Attack) را افزایش میدهد.
تمرکز بر توسعهدهندگان رمزارز و بلاکچین
انتخاب این گروه هدف تصادفی نیست؛ توسعهدهندگان این حوزه معمولاً با کیف پولهای دیجیتال و داراییهای ارزشمند سر و کار دارند.
عملیات سازمانیافته و چندلایه
تنوع زبانهای مورد استفاده (JavaScript، Python، VBS) و زیرساختهای پیچیده توزیع، نشاندهنده یک عملیات حرفهای و دولتی است، نه یک حمله ساده فردی.
توصیههای امنیتی برای برنامهنویسان و شرکتها
- هرگز کد ارسالشده از سوی کارفرمای ناشناس را بدون بررسی اجرا نکنید
- وابستگیها (Dependencies) را با ابزارهای اسکن امنیتی بررسی کنید
- اجرای پروژههای مشکوک را در محیط ایزوله (Sandbox یا VM) انجام دهید
- دانلود پکیجها را از نظر تعداد نصب، تاریخ انتشار و اعتبار توسعهدهنده بررسی کنید
- احراز هویت چندمرحلهای را برای حسابهای مخازن نرمافزاری فعال کنید
جمعبندی
این کمپین نشان میدهد حملات سایبری وارد مرحلهای جدید شدهاند؛ مرحلهای که در آن فرآیندهای حرفهای مانند استخدام به ابزار نفوذ تبدیل میشوند.
برای جامعه توسعهدهندگان، این هشدار مهمی است که امنیت دیگر فقط به زیرساخت سازمانی محدود نمیشود بلکه از لحظه دریافت یک پیشنهاد شغلی آغاز میشود.
سوالات متداول (FAQ)
در این نوع حمله، مهاجمان با آگهیهای استخدام جعلی از توسعهدهندگان میخواهند یک پروژه یا تست کدنویسی را اجرا کنند. این پروژه شامل پکیجهای آلوده از مخازنی مانند npm یا PyPI است که پس از اجرا، بدافزار را روی سیستم قربانی نصب میکند.
برنامهنویسان معمولاً کدهای ناشناس را برای بررسی یا تست اجرا میکنند و دسترسیهای سیستمی گستردهتری دارند. علاوه بر این، برخی توسعهدهندگان با کیف پولهای رمزارزی و زیرساختهای حساس کار میکنند که برای مهاجمان ارزشمند است.
بدافزار میتواند فایلهای شخصی، کلیدهای خصوصی رمزارز، اطلاعات مرورگر، توکنهای دسترسی و حتی دادههای سازمانی را استخراج کند.
– اجرای پروژههای ناشناس در محیط ایزوله (Sandbox یا ماشین مجازی)
– بررسی وابستگیها پیش از نصب
– استفاده از ابزارهای اسکن امنیتی
– تحقیق درباره اعتبار شرکت پیشنهاددهنده
این مخازن معتبر هستند، اما به دلیل ماهیت متنباز، امکان انتشار پکیجهای مخرب وجود دارد. بنابراین بررسی توسعهدهنده و نسخههای منتشرشده ضروری است.
