هکرهای کره شمالی توسعهدهندگان متنباز را هدف گرفتند؛ بیش از ۱۰۰ پروژه آلوده در حمله زنجیره تأمین
اخبار داغ فناوری اطلاعات و امنیت شبکهمحققان امنیتی از اجرای یک کمپین گسترده زنجیره تأمین (Supply Chain Attack) توسط هکرهای وابسته به کره شمالی خبر دادهاند که توسعهدهندگان نرمافزارهای متنباز را هدف قرار داده است. در این عملیات که با نام PolinRider شناخته میشود، مهاجمان با آلوده کردن بیش از ۱۰۰ بسته و مخزن (Repository) معتبر متنباز، تلاش کردهاند بدافزارهایی شامل درِ پشتی (Backdoor) و ابزار سرقت اطلاعات (InfoStealer) را روی سیستم برنامهنویسان نصب کنند. این حملات نشان میدهد گروههای وابسته به کره شمالی تمرکز خود را از حمله مستقیم به سازمانها، به نفوذ در زنجیره توسعه نرمافزار منتقل کردهاند.
کمپین PolinRider چگونه عمل میکند؟
بر اساس گزارش منتشرشده، مهاجمان ابتدا پروژهها و بستههای متنباز را که توسط توسعهدهندگان بهطور گسترده مورد استفاده قرار میگیرند، شناسایی کرده و نسخههای آلوده آنها را در اختیار قربانیان قرار میدهند.
توسعهدهندگانی که این بستهها را دانلود یا به پروژههای خود اضافه میکنند، ناخواسته کد مخربی را نیز اجرا میکنند که در پسزمینه سیستم فعال شده و ارتباط خود را با سرور فرماندهی و کنترل (C2) برقرار میکند.
به گفته محققان، هدف اصلی این کمپین، آلوده کردن رایانه توسعهدهندگان و استفاده از آنها بهعنوان نقطه ورود به شرکتها و سازمانهای بزرگ است.
چه بدافزارهایی نصب میشوند؟
تحلیلهای فنی نشان میدهد بستههای آلوده، چندین مؤلفه مخرب را روی سیستم قربانی مستقر میکنند که مهمترین آنها عبارتاند از:
- درِ پشتی (Backdoor) برای دسترسی دائمی مهاجم
- بدافزار سرقت اطلاعات (InfoStealer)
- ابزار جمعآوری اطلاعات سیستم
- ماژول سرقت اعتبارنامهها
- قابلیت دریافت و اجرای فایلهای مخرب جدید
پس از آلودگی، مهاجم میتواند اطلاعات حساس توسعهدهنده از جمله رمزهای عبور، توکنهای دسترسی، کلیدهای SSH، اطلاعات Git و دادههای ذخیرهشده در مرورگر را استخراج کند.
چرا توسعهدهندگان هدف قرار گرفتهاند؟
کارشناسان معتقدند توسعهدهندگان یکی از ارزشمندترین اهداف برای حملات زنجیره تأمین هستند، زیرا معمولاً به مخازن کد، سامانههای CI/CD، زیرساختهای ابری و کلیدهای امضای نرمافزار دسترسی دارند.
در صورتی که رایانه یک توسعهدهنده آلوده شود، مهاجم ممکن است بتواند:
- به مخازن Git دسترسی پیدا کند.
- کد مخرب را وارد پروژههای نرمافزاری کند.
- اطلاعات محرمانه شرکت را سرقت کند.
- به محیطهای ابری و سرورهای سازمان نفوذ کند.
- حملات گستردهتری را علیه کاربران نهایی اجرا کند.
به همین دلیل، حملات زنجیره تأمین معمولاً خسارات بسیار گستردهتری نسبت به نفوذهای مستقیم ایجاد میکنند.
ارتباط با گروههای هکری کره شمالی
پژوهشگران این کمپین را به گروههای تهدید وابسته به دولت کره شمالی نسبت دادهاند؛ گروههایی که سابقه طولانی در حمله به شرکتهای فناوری، توسعهدهندگان، صرافیهای ارز دیجیتال و پروژههای متنباز دارند.
این گروهها علاوه بر اهداف جاسوسی، از حملات سایبری برای سرقت داراییهای دیجیتال و تأمین منابع مالی نیز استفاده میکنند و در سالهای اخیر چندین عملیات بزرگ زنجیره تأمین به آنها نسبت داده شده است.
چرا حملات Supply Chain خطرناک هستند؟
برخلاف حملات سنتی، در حملات زنجیره تأمین مهاجم مستقیماً سازمان هدف را مورد حمله قرار نمیدهد، بلکه نرمافزار یا ابزار مورد اعتماد آن سازمان را آلوده میکند.
این موضوع باعث میشود:
- بدافزار با اعتماد کامل اجرا شود.
- احتمال شناسایی کاهش یابد.
- تعداد قربانیان بهطور چشمگیری افزایش پیدا کند.
- مهاجم بهصورت همزمان به صدها یا هزاران سازمان دسترسی پیدا کند.
در سالهای اخیر حملات زنجیره تأمین به یکی از مهمترین تهدیدات امنیت سایبری جهان تبدیل شدهاند.
توصیههای امنیتی
کارشناسان برای توسعهدهندگان و سازمانها توصیه میکنند:
- پیش از نصب هر بسته، اعتبار توسعهدهنده و مخزن آن را بررسی کنند.
- وابستگیهای نرمافزاری (Dependencies) را بهطور مداوم پایش کنند.
- از ابزارهای بررسی امنیت زنجیره تأمین نرمافزار (SCA) استفاده کنند.
- دسترسی توکنها و کلیدهای API را محدود کنند.
- احراز هویت چندمرحلهای را برای GitHub، GitLab و سایر مخازن کد فعال کنند.
- رفتار غیرعادی بستههای متنباز را پیش از استقرار در محیط تولید بررسی کنند.
جمعبندی تحلیلی
کمپین PolinRider نشان میدهد مهاجمان وابسته به کره شمالی بیش از گذشته بر زنجیره تأمین نرمافزار تمرکز کردهاند. آلودهسازی پروژههای متنباز و هدف قرار دادن توسعهدهندگان، روشی کمهزینه اما بسیار مؤثر برای نفوذ به شرکتهای بزرگ محسوب میشود. این حملات بار دیگر اهمیت پایش وابستگیهای نرمافزاری، حفاظت از حسابهای توسعهدهندگان و استفاده از ابزارهای امنیت زنجیره تأمین را یادآوری میکند.
برچسب ها: امنیت_اطلاعات, نشت_اطلاعات, امنیت_سایبری, Cyberattack, cybersecurity, کره شمالی