من المرجح أن عملية اختطاف كوريا الشمالية لأحد المشاريع مفتوحة المصدر الأكثر استخدامًا على الويب كانت في طور الإعداد بعد أسابيع
استغرق الهجوم الإلكتروني الذي شنته كوريا الشمالية يوم الاثنين الماضي، والذي اختطف لفترة وجيزة أحد أكثر المشاريع مفتوحة المصدر استخدامًا على الويب، أسابيع لتنفيذه كجزء من حملة طويلة الأمد لاستهداف كبار مطوري الكود.
كان اختطاف مشروع أكسيوس في 31 مارس ناجحًا جزئيًا لأنه اعتمد على قراصنة يتمتعون بموارد جيدة لبناء علاقة وثقة مع هدفهم المقصود على مدى فترة طويلة من الزمن لزيادة احتمالات التوصل إلى تسوية نهائية ناجحة. يسلط هذا النوع من الاختراق الضوء على التحديات الأمنية التي يمكن أن يواجهها مطورو المشاريع الشهيرة مفتوحة المصدر، في الوقت الذي يستهدف فيه المتسللون الحكوميون ومجرمو الإنترنت على حد سواء المشاريع المستخدمة على نطاق واسع لقدرتهم على الوصول، في بعض الحالات، إلى ملايين الأجهزة في جميع أنحاء العالم.
قدم جيسون سايمان، الذي يدير مشروع Axios الشهير الذي يستخدمه المطورون لربط تطبيقاتهم بالإنترنت، تقريرًا بعد الوفاة يتضمن جدولًا زمنيًا للاختراق. وأشار إلى أن المتسللين بدأوا حملة الاستهداف الخاصة بهم قبل حوالي أسبوعين من السيطرة في النهاية على جهاز الكمبيوتر الخاص به لإخراج التعليمات البرمجية الضارة.
من خلال التظاهر كشركة حقيقية، وإنشاء مساحة عمل Slack ذات مظهر واقعي، واستخدام ملفات تعريف مزيفة لموظفيها لبناء المصداقية، قال سايمان إن المتسللين الكوريين الشماليين المشتبه بهم دعوه بعد ذلك إلى اجتماع عبر الإنترنت دفعه إلى تنزيل برامج ضارة تتنكر في شكل تحديث ضروري للوصول إلى المكالمة. وقال سايمان إن الإغراء يحاكي تقنية يستخدمها المتسللون الكوريون الشماليون والتي تخدع الضحايا المحتملين لمنح المتسللين إمكانية الوصول عن بعد إلى نظامهم، وغالبًا ما يكون ذلك لسرقة عملاتهم المشفرة.
وقال سايمان إن هذا الهجوم يحاكي عمليات اختراق سابقة نسبها إلى كوريا الشمالية باحثون أمنيون في جوجل.
بعد اختراق جهاز كمبيوتر Saayman والوصول إليه عن بعد، أطلق المتسللون بعد ذلك التحديثات الضارة لمشروع Axios.
ربما تكون حزمتا Axios الخبيثتان، اللتان تم سحبهما بعد حوالي ثلاث ساعات من نشرهما لأول مرة في 31 مارس، قد أصابتا آلاف الأنظمة خلال تلك الفترة، على الرغم من أن النطاق الكامل للاختراق الجماعي ليس واضحًا تمامًا بعد. قد يكون أي جهاز كمبيوتر قام بتثبيت إصدار ضار من البرنامج خلال هذا الوقت قد سمح للمتسللين بسرقة المفاتيح الخاصة وبيانات الاعتماد وكلمات المرور الخاصة بهم من هذا الكمبيوتر، مما قد يؤدي إلى مزيد من الانتهاكات.
ولم يرد سايمان على الفور على رسالة بالبريد الإلكتروني تحتوي على أسئلة حول الحادث.
يظل المتسللون الكوريون الشماليون أحد أكثر التهديدات السيبرانية نشاطًا على الإنترنت اليوم، حيث يُلقى عليهم باللوم في سرقة ما لا يقل عن 2 مليار دولار من العملات المشفرة في عام 2025 وحده.
لا يزال نظام كيم جونغ أون خاضعًا لعقوبات دولية ومحظورًا من الشبكة المالية العالمية لانتهاكه الحظر المفروض على برنامج تطوير الأسلحة النووية، والذي تموله البلاد إلى حد كبير من خلال شن هجمات إلكترونية وسرقة العملات المشفرة.
ويُعتقد أن كوريا الشمالية لديها الآلاف من المتسللين المنظمين للغاية، ومعظمهم يعملون ضد إرادتهم في ظل نظام كيم القمعي. يقضي هؤلاء المتسللون أسابيع أو أشهر في تنفيذ هجمات الهندسة الاجتماعية المعقدة التي تهدف إلى اكتساب الثقة والوصول في النهاية لسرقة العملات المشفرة والبيانات لابتزاز ضحاياهم.
