خب بذار یه داستان خفن رو براتون تعریف کنم: چند وقت پیش، محققای امنیت سایبری فهمیدن که یه سری هکر از کره شمالی دارن پکیجهای آلوده به بدافزار (یعنی نرمافزارهایی که باعث خرابکاری و دزدی اطلاعات میشن) رو توی npm منتشر میکنن. حالا اگه نمیدونی npm چیه، بذار بگم: npm یه مخزن آنلاینه که برنامهنویسها کلی پکیج و کتابخونه برای پروژههاشون ازش دانلود میکنن.
این دفعه، طبق گزارش محققهای شرکت Socket، تعداد این پکیجهای خراب ۶۷ تا بوده و این حرکتشون هم ظاهراً قسمت دوم یه کمپین بزرگتر به اسم “Contagious Interview” هست. یعنی این اولین بار نیست که دارن شر درست میکنن؛ قبلاً هم یه بار دیگه ۳۵ تا پکیج رو تو همین مدل پخش کرده بودن. میشه گفت هکرها و محققها یه جورایی افتادن تو بازی موش و گربه: محققها هر چی پکیج خراب پیدا میکنن، هکرها سریع با یه نام و شکل جدید دوباره پکیجهای تازه تو npm میریزن!
تا اینجا شاید بگی: «خب آخه کی باعث میشه این پکیجها رو دانلود کنه اصلاً؟» اینجا داستان جالبتر میشه! هکرای کره شمالی خیلی زرنگتر از این حرفان. اونا نقش کارمندای منابع انسانی یا ریکروتر (یعنی افرادی که نیرو استخدام میکنن) توی شرکتهای معتبر حوزه تکنولوژی رو بازی میکنن و معمولاً تو لینکتین، تلگرام یا دیسکورد (که همهشون شبکههای اجتماعی و ارتباطیان) به برنامهنویسا پیام میدن و پیشنهاد شغلی میدن.
تو این مصاحبه ساختگی، بعد از کلی صحبت، آخرش از طرف خواسته میشه برای انجام یه تسک تستی، یه پکیج npm خاص رو نصب و اجرا کنه. خلاصه قربانی هم فکر میکنه همه چیز طبیعیه، اما همون موقع دستگاهش با بدافزار آلوده میشه. البته این پکیجها رو ممکنه هر کسی تصادفی هم نصب کنه و درگیر بشه.
جالب اینجاست که این پکیجهای آلوده در مجموع بیش از ۱۷ هزار بار دانلود شدن! یعنی سطح حملهشون خیلی گستردهست و هر کسی که سمت این پکیجها بره، در خطره.
اما هدف هکرهای کره شمالی چیه؟ این گروهها معروفن به ماجراهای «جعل شغل» و «جعل کارمند»، یعنی با اسم و شغل قلابی به آدمها نزدیک میشن. هدفشون هم معمولاً جاسوسی سایبری (یعنی دزدی اطلاعات محرمانه یا دادههای مخصوص شرکتها) و یا سرقت مالیه. مثلاً اگه اطلاعات تکنولوژی شرکتها رو ندزدن، احتمالاً دستشون تو کلاهبرداری با رمزارزهاه تا بتونن برای دولت کره شمالی پول جور کنن – حتی برای پروژههای هستهایشون.
یه نکته دیگه که محققها گفتن اینه که تو این حملهها معمولاً انواع و اقسام ویروس و بدافزار استفاده میشه، مثلاً BeaverTail که اطلاعات رو میدزده (infostealer: ویروسی که اطلاعات دزدیه)، HexEval Loader، یا XORIndex Loader و InvisibleFerret و مدلهای دیگه (این اسمها همه مدلهای مختلف بدافزاره که هر کدوم یک کار خرابکارانه خاص انجام میدن).
این گروه خرابکار هم دست از کار نمیکشن – هر بار با اسم و اکانت جدید npm میان سراغ برنامهنویسها و مدام راههای تازه و مدل جدید بدافزارها رو امتحان میکنن.
در کل خلاصه بگیم، اگه برنامهنویس هستی یا با npm سر و کار داری، حواست باشه! اگه یه نفر با عنوان استخدام یا ریکروتر توی هر شبکه اجتماعی ازت خواست یه پروژه یا پکیج خاص رو اجرا کنی، صد بار بهش شک کن! و هیچ وقت پکیجهایی که مطمئن نیستی امن هستن رو نصب نکن.
این دیگه فقط یه داستان هالیوودی نیست، واقعیه و با حرفهایترین ترفندها ملت رو فریب میدن. پس سعی کن همیشه هوشیار بمونی، حتماً حجم دانلود و نظرات یه پکیج رو تو npm نگاه کن و اگه بیدلیل محبوب شد یا تازه منتشر شده بود، سریع سمتش نرو.
در آخر این رو هم بدون که هکرای کره شمالی تو این داستان همیشه یه قدم جلوتر بودن، ولی بازرسا و محققای امنیتی دارن تا جایی که میتونن نقشههاشون رو لو میدن. خلاصه دیگه خود دانی!
منبع: +
