- تحذر مجموعة Google Threat Intelligence Group من هجوم نشط على سلسلة التوريد على مكتبة Axios التابعة لـ npm
- قامت التبعية الضارة “plain-crypto-js” بنشر الباب الخلفي WAVESHAPER.V2 عبر أنظمة التشغيل Windows وmacOS وLinux.
- يشير الإسناد إلى مجموعة UNC1069 في كوريا الشمالية، والمعروفة بحملاتها طويلة الأمد التي تستهدف مطوري العملات المشفرة والبرمجيات.
تستهدف جهات التهديد التي ترعاها الدولة في كوريا الشمالية حزمة npm ذات شعبية كبيرة في محاولة لإصابة مستخدميها ببرامج ضارة.
وفي تقرير أمني، قالت مجموعة Threat Intelligence Group (GTIG) التابعة لشركة Google إنها تراقب “هجومًا نشطًا على سلسلة توريد البرامج” يستهدف Axios، “مكتبة JavaScript الأكثر شيوعًا المستخدمة لتبسيط طلبات HTTP”. فهو يبسط المهام مثل استدعاء واجهات برمجة التطبيقات والتعامل مع الاستجابات وإدارة الأخطاء مقارنة باستخدام الأدوات المضمنة مثل الجلب أو XMLHttpRequest.
واستهدف المتسللون نسختين من الحزمة – 1.14.1 و0.30.4 – والتي تقول جوجل إن تنزيلاتهما عادةً ما تزيد عن 100 مليون و83 مليون أسبوعيًا، على التوالي. لقد حاولوا تقديم تبعية ضارة تسمى “plain-crypto-js”، وهي قطارة غامضة تنشر الباب الخلفي WAVESHAPER.V2 عبر أنظمة التشغيل Windows وmacOS وLinux.
يستمر المقال أدناه
ربطها بكوريا الشمالية
وصفت Google WAVESHAPER.V2 بأنه “RAT يعمل بكامل طاقته”، وقادر على الاستطلاع (استخراج القياس عن بعد)، وتنفيذ الأوامر (الحقن المحمول القابل للتنفيذ في الذاكرة وأوامر الصدفة العشوائية)، وتعداد النظام (إرجاع البيانات الوصفية التفصيلية).
تمت كتابته بلغة C++، ولكن تم اكتشاف متغيرات أخرى مكتوبة بلغة PowerShell وPython لاستهداف بيئات مختلفة.
هذا هو بالضبط الباب الخلفي الذي جعل جوجل تستنتج أن هذه حملة ترعاها كوريا الشمالية. وقالت GTIG إن WAVESHAPER.V2 هو نسخة محدثة من WAVESHAPER، وهو باب خلفي تم استخدامه سابقًا من قبل جهة فاعلة للتهديد في كوريا الشمالية تسمى UNC1069.
وقالت جوجل: “علاوة على ذلك، يُظهر تحليل عناصر البنية التحتية المستخدمة في هذا الهجوم تداخلات مع البنية التحتية التي استخدمها UNC1069 في الأنشطة السابقة”.
يبدو أن UNC1069 نشط منذ عام 2018 على الأقل، مما يجعلها واحدة من المجموعات التهديدية الأطول أمدًا. وفي وقت سابق من هذا العام، مانديانت رصدتها الشركة باستخدام مجموعة من حسابات Telegram المخترقة، ومكالمات Zoom المزيفة، ومقاطع الفيديو المزيفة بعمق، وستة سلالات من البرامج الضارة، لاستهداف المؤسسات في قطاع العملات المشفرة وسرقة مجموعات العملات المشفرة الخاصة بها.
أفضل برامج مكافحة الفيروسات لجميع الميزانيات
اتبع TechRadar على أخبار جوجل و أضفنا كمصدر مفضل للحصول على أخبار الخبراء والمراجعات والآراء في خلاصاتك. تأكد من النقر على زر المتابعة!
وبالطبع يمكنك أيضًا اتبع TechRadar على TikTok للحصول على الأخبار والمراجعات وفتح الصناديق في شكل فيديو، والحصول على تحديثات منتظمة منا على واتساب أيضاً.
التعليقات