استهدف مجرمو الإنترنت من كوريا الشمالية شركات التشفير باستخدام سلالة جديدة من البرامج الضارة التي تستغل أجهزة Apple في هجوم متعدد المراحل.
أصدر باحثون في شركة الأمن السيبراني Sentinel Labs تحذيرًا بشأن الحملة، التي تستغل الهندسة الاجتماعية وتقنيات الثبات المتقدمة لاختراق أنظمة macOS.
تم كتابة البرنامج الخبيث، المسمى "NimDoor"، بلغة البرمجة الأقل شهرة Nim، وهو قادر على التهرب من أدوات مكافحة الفيروسات التقليدية.
وفقًا لمختبرات سنتينل، يبدأ المهاجمون عملية الاتصال بانتحال هوية أشخاص موثوق بهم على منصات مراسلة مثل تيليجرام. يتم استدراج الضحايا، الذين يبدو أنهم موظفون في شركات بلوكتشين أو ويب 3، إلى اجتماعات زوم وهمية عبر روابط تصيد احتيالي، ويُطلب منهم تثبيت ما يبدو أنه تحديث روتيني لحزمة أدوات تطوير برمجيات زوم.
بمجرد تنفيذه، يُثبّت نص التحديث مراحل متعددة من البرامج الضارة على جهاز ماك الخاص بالضحية. تتضمن هذه المراحل إشارات AppleScript، ونصوص Bash لسرقة بيانات الاعتماد، وملفات ثنائية مُجمّعة بلغة Nim وC++ للاستمرارية وتنفيذ الأوامر عن بُعد.
الملفات الثنائية هي ملفات برامج مستقلة تُنفِّذ مهامًا محددة ضمن سلسلة البرامج الضارة. يستخدم أحد هذه الملفات، ويُسمى CoreKitAgent، آلية استمرارية قائمة على الإشارة تعمل عندما يحاول المستخدمون إغلاق البرنامج الخبيث، مما يسمح له بالبقاء نشطًا حتى بعد إعادة تشغيل النظام.
العملات المشفرة هدف رئيسي لهذه العملية. يستهدف البرنامج الخبيث تحديدًا بيانات الاعتماد المخزنة في المتصفح وبيانات التطبيقات المتعلقة بالمحافظ الرقمية.
يُنفّذ البرنامج الخبيث نصوصًا برمجية مصممة لاستخراج المعلومات من متصفحات شائعة مثل كروم، وبريف، وإيدج، وفايرفوكس، بالإضافة إلى مدير كلمات المرور Keychain من آبل. ويستهدف مكون آخر قاعدة بيانات تيليجرام المشفرة وملفات المفاتيح، مما قد يُعرّض عبارات المحفظة الأصلية والمفاتيح الخاصة المتبادلة عبر تطبيق المراسلة.
قراصنة من كوريا الشمالية مسؤولون
ونسبت شركة Sentinel Labs الحملة إلى جهة تهديد مرتبطة بكوريا الشمالية، في استمرار لنمط من الهجمات الإلكترونية التي تركز على العملات المشفرة والتي تشنها جمهورية كوريا الشعبية الديمقراطية.
لطالما استهدفت مجموعات القرصنة، مثل لازاروس، شركات الأصول الرقمية في محاولة لتجاوز العقوبات الدولية وتمويل عمليات حكومية. وشهدت العمليات السابقة برمجيات خبيثة مكتوبة بلغة Go وRust، لكن هذه الحملة تُمثل إحدى أولى عمليات النشر الرئيسية لـ Nim ضد أهداف macOS.
كما ذكر موقع crypto.news سابقًا، في أواخر عام ٢٠٢٣، لاحظ الباحثون حملةً أخرى مرتبطة بكوريا الشمالية، استخدمت برنامجًا خبيثًا قائمًا على بايثون يُعرف باسم Kandykorn. وُزّع البرنامج عبر خوادم Discord مُتخفيًا في شكل بوت تحكيم العملات المشفرة، واستهدف بشكل أساسي مهندسي بلوكتشين الذين يستخدمون نظام macOS.
حذرت شركة Sentinel Labs من أنه مع تزايد اعتماد الجهات الفاعلة في مجال التهديد على لغات برمجة غامضة وتقنيات متطورة، فإن افتراضات الأمان التقليدية حول نظام التشغيل macOS لم تعد صالحة.
على مدار الأشهر الماضية، استهدفت العديد من سلالات البرمجيات الخبيثة مستخدمي Apple، بما في ذلك SparkKitty ، الذي سرق عبارات البذور عبر معرض الصور على نظام التشغيل iOS، وحصان طروادة الذي استبدل تطبيقات المحفظة على نظام macOS بإصدار ضار.
