هکرهای کره شمالی توسعه‌دهندگان متن‌باز را هدف گرفتند؛ بیش از ۱۰۰ پروژه آلوده در حمله زنجیره تأمین

اخبار داغ فناوری اطلاعات و امنیت شبکه

محققان امنیتی از اجرای یک کمپین گسترده زنجیره تأمین (Supply Chain Attack) توسط هکرهای وابسته به کره شمالی خبر داده‌اند که توسعه‌دهندگان نرم‌افزارهای متن‌باز را هدف قرار داده است. در این عملیات که با نام PolinRider شناخته می‌شود، مهاجمان با آلوده کردن بیش از ۱۰۰ بسته و مخزن (Repository) معتبر متن‌باز، تلاش کرده‌اند بدافزارهایی شامل درِ پشتی (Backdoor) و ابزار سرقت اطلاعات (InfoStealer) را روی سیستم برنامه‌نویسان نصب کنند. این حملات نشان می‌دهد گروه‌های وابسته به کره شمالی تمرکز خود را از حمله مستقیم به سازمان‌ها، به نفوذ در زنجیره توسعه نرم‌افزار منتقل کرده‌اند.


کمپین PolinRider چگونه عمل می‌کند؟

بر اساس گزارش منتشرشده، مهاجمان ابتدا پروژه‌ها و بسته‌های متن‌باز را که توسط توسعه‌دهندگان به‌طور گسترده مورد استفاده قرار می‌گیرند، شناسایی کرده و نسخه‌های آلوده آن‌ها را در اختیار قربانیان قرار می‌دهند.

توسعه‌دهندگانی که این بسته‌ها را دانلود یا به پروژه‌های خود اضافه می‌کنند، ناخواسته کد مخربی را نیز اجرا می‌کنند که در پس‌زمینه سیستم فعال شده و ارتباط خود را با سرور فرماندهی و کنترل (C2) برقرار می‌کند.

به گفته محققان، هدف اصلی این کمپین، آلوده کردن رایانه توسعه‌دهندگان و استفاده از آن‌ها به‌عنوان نقطه ورود به شرکت‌ها و سازمان‌های بزرگ است.


چه بدافزارهایی نصب می‌شوند؟

تحلیل‌های فنی نشان می‌دهد بسته‌های آلوده، چندین مؤلفه مخرب را روی سیستم قربانی مستقر می‌کنند که مهم‌ترین آن‌ها عبارت‌اند از:

پس از آلودگی، مهاجم می‌تواند اطلاعات حساس توسعه‌دهنده از جمله رمزهای عبور، توکن‌های دسترسی، کلیدهای SSH، اطلاعات Git و داده‌های ذخیره‌شده در مرورگر را استخراج کند.


چرا توسعه‌دهندگان هدف قرار گرفته‌اند؟

کارشناسان معتقدند توسعه‌دهندگان یکی از ارزشمندترین اهداف برای حملات زنجیره تأمین هستند، زیرا معمولاً به مخازن کد، سامانه‌های CI/CD، زیرساخت‌های ابری و کلیدهای امضای نرم‌افزار دسترسی دارند.

در صورتی که رایانه یک توسعه‌دهنده آلوده شود، مهاجم ممکن است بتواند:

به همین دلیل، حملات زنجیره تأمین معمولاً خسارات بسیار گسترده‌تری نسبت به نفوذهای مستقیم ایجاد می‌کنند.


ارتباط با گروه‌های هکری کره شمالی

پژوهشگران این کمپین را به گروه‌های تهدید وابسته به دولت کره شمالی نسبت داده‌اند؛ گروه‌هایی که سابقه طولانی در حمله به شرکت‌های فناوری، توسعه‌دهندگان، صرافی‌های ارز دیجیتال و پروژه‌های متن‌باز دارند.

این گروه‌ها علاوه بر اهداف جاسوسی، از حملات سایبری برای سرقت دارایی‌های دیجیتال و تأمین منابع مالی نیز استفاده می‌کنند و در سال‌های اخیر چندین عملیات بزرگ زنجیره تأمین به آن‌ها نسبت داده شده است.


چرا حملات Supply Chain خطرناک هستند؟

برخلاف حملات سنتی، در حملات زنجیره تأمین مهاجم مستقیماً سازمان هدف را مورد حمله قرار نمی‌دهد، بلکه نرم‌افزار یا ابزار مورد اعتماد آن سازمان را آلوده می‌کند.

این موضوع باعث می‌شود:

در سال‌های اخیر حملات زنجیره تأمین به یکی از مهم‌ترین تهدیدات امنیت سایبری جهان تبدیل شده‌اند.


توصیه‌های امنیتی

کارشناسان برای توسعه‌دهندگان و سازمان‌ها توصیه می‌کنند:


جمع‌بندی تحلیلی

کمپین PolinRider نشان می‌دهد مهاجمان وابسته به کره شمالی بیش از گذشته بر زنجیره تأمین نرم‌افزار تمرکز کرده‌اند. آلوده‌سازی پروژه‌های متن‌باز و هدف قرار دادن توسعه‌دهندگان، روشی کم‌هزینه اما بسیار مؤثر برای نفوذ به شرکت‌های بزرگ محسوب می‌شود. این حملات بار دیگر اهمیت پایش وابستگی‌های نرم‌افزاری، حفاظت از حساب‌های توسعه‌دهندگان و استفاده از ابزارهای امنیت زنجیره تأمین را یادآوری می‌کند.

برچسب ها: امنیت_اطلاعات, نشت_اطلاعات, امنیت_سایبری, Cyberattack, cybersecurity, کره شمالی

نوشته شده توسط تیم خبر.

چاپ