PurpleBravo Attack Campaign

حدد محللو معلومات التهديدات 3136 عنوان IP فرديًا مرتبطًا بأهداف محتملة لحملة "المقابلة المعدية". ويُعتقد أن العملية تشمل 20 منظمة يُحتمل أن تكون ضحايا، تعمل في مجالات الذكاء الاصطناعي، والعملات المشفرة، والخدمات المالية، وخدمات تكنولوجيا المعلومات، والتسويق، وتطوير البرمجيات. وتمتد الكيانات المتضررة عبر أوروبا وجنوب آسيا والشرق الأوسط وأمريكا الوسطى، مما يؤكد النطاق العالمي لهذا النشاط.

وتشير التقديرات إلى أن عناوين بروتوكول الإنترنت، التي تتركز بشكل كبير في جنوب آسيا وأمريكا الشمالية، قد استُهدفت بين أغسطس 2024 وسبتمبر 2025. وتفيد التقارير بأن الشركات المتضررة تتخذ من بلجيكا وبلغاريا وكوستاريكا والهند وإيطاليا وهولندا وباكستان ورومانيا والإمارات العربية المتحدة وفيتنام مقراً لها.

بيربل برافو: مجموعة تهديد كورية شمالية غزيرة الإنتاج

يُعزى هذا النشاط إلى مجموعة مرتبطة بكوريا الشمالية تُعرف باسم PurpleBravo، والتي تم توثيقها لأول مرة في أواخر عام 2023. وتُعرف هذه المجموعة في جميع أنحاء مجتمع الأمن السيبراني تحت مسميات متعددة، مما يعكس تتبعًا واسع النطاق في هذا المجال:

CL-STA-0240، DeceptiveDevelopment، DEV#POPPER، Famous Chollima، Gwisin Gang، Tenacious Pungsan، UNC5342، Void Dokkaebi، وWaterPlum

أظهرت شركة PurpleBravo استثمارًا مستدامًا في البنية التحتية طويلة الأجل، وأساليب الهندسة الاجتماعية، وتطوير البرامج الضارة، بما يتماشى مع الأهداف التي تمزج بين التجسس الإلكتروني والسرقة المالية.

استغلال عملية التوظيف وبيئة المطورين

تأتي هذه النتائج الحديثة في أعقاب الكشف عن تطور كبير في حملة "المقابلة المعدية"، حيث يستخدم المهاجمون مشاريع مايكروسوفت فيجوال ستوديو كود الخبيثة كسلاح لنشر أبواب خلفية. يستغل هذا الأسلوب أدوات المطورين الموثوقة وسير العمل، مما يزيد من احتمالية نجاح الاختراق.

كشف باحثون عن حسابات احتيالية على لينكدإن تنتحل صفة مطورين وموظفي توظيف، وتدّعي العمل من أوديسا، أوكرانيا، إلى جانب مستودعات خبيثة على غيت هاب مصممة لنشر برامج ضارة مثل بيفرتيل. وفي عدة حوادث، أفادت التقارير أن باحثين عن عمل قاموا بتشغيل برمجيات خبيثة على أجهزة صادرة من الشركات، مما وسّع نطاق الاختراق ليشمل بيئات المؤسسات مباشرةً، متجاوزًا الأفراد.

ترسانة البرمجيات الخبيثة وبنية القيادة التحتية

تُشغّل PurpleBravo بنى تحتية منفصلة للتحكم والسيطرة لدعم عائلات متعددة من البرمجيات الخبيثة. وتشمل هذه BeaverTail، وهي أداة لسرقة المعلومات وتحميلها تعتمد على JavaScript، وGolangGhost (المعروفة أيضًا باسم FlexibleFerret أو WeaselStore)، وهي باب خلفي قائم على لغة Go مشتق من مشروع HackBrowserData مفتوح المصدر.

تتوزع خوادم القيادة والسيطرة التابعة للمجموعة على 17 مزود خدمة استضافة، وتُدار عبر شبكة Astrill VPN، حيث تُنسب أنشطة الإدارة إلى نطاقات عناوين IP في الصين. وقد وُثِّق استخدام Astrill VPN مرارًا وتكرارًا في عمليات إلكترونية سابقة لكوريا الشمالية، مما يعزز الثقة في تحديد مصدر الهجمات.

التقارب مع تهديد “عامل تكنولوجيا المعلومات” المعروف باسم “الخائن”

يُقيّم برنامج "المقابلة المعدية" كجزء مكمل لحملة منفصلة ولكنها ذات صلة تُعرف باسم "واغمول" (بيربل دلتا). تتضمن هذه العملية حصول عمال تكنولوجيا المعلومات الكوريين الشماليين على وظائف غير مصرح بها باستخدام هويات مسروقة أو مزيفة، وذلك أساسًا لتوليد الإيرادات والقيام بالتجسس. على الرغم من أن "واغمول" نشطة منذ عام 2017 ويتم تتبعها كمجموعة منفصلة، فقد كشف المحققون عن تداخلات ملحوظة في التكتيكات والبنية التحتية.

تشمل الروابط المرصودة مشغلي PurpleBravo الذين يظهرون سلوكًا يتوافق مع عمال تكنولوجيا المعلومات الكوريين الشماليين، وعناوين IP روسية مرتبطة بنشاط عمال تكنولوجيا المعلومات المعروفين الذين يتواصلون مع البنية التحتية لـ PurpleBravo، وعقد Astrill VPN المشتركة المرتبطة بكلتا المجموعتين.

تزايد مخاطر سلسلة التوريد والمخاطر المؤسسية

من بين الاتجاهات المقلقة بشكل خاص استخدام عروض عمل وهمية لاستدراج المرشحين لإجراء اختبارات برمجة على أنظمة مملوكة لأصحاب العمل، مما يحول عملية الاحتيال في التوظيف إلى ثغرة أمنية في المؤسسة. وهذا يدل على أن سلسلة توريد البرمجيات وتقنية المعلومات عرضة للاختراق بشكل كبير، حتى خارج نطاق برامج توظيف العاملين في مجال تقنية المعلومات التي تحظى بتغطية إعلامية واسعة.

تُعلن العديد من المنظمات المستهدفة عن قواعد عملاء واسعة، مما يزيد من احتمالية اختراق سلسلة التوريد. ويحذر باحثو الأمن من أنه على الرغم من أن تهديد العاملين في مجال تكنولوجيا المعلومات من كوريا الشمالية قد حظي باهتمام واسع، إلا أن نموذج "بيربل برافو" لاختراق سلسلة التوريد يستحق نفس القدر من الاهتمام. ويُحثّ على تعزيز عمليات التوظيف، وضوابط بيئة المطورين، وإدارة مخاطر الأطراف الثالثة للكشف عن البيانات الحساسة وتعطيلها ومنع تسريبها إلى جهات التهديد الكورية الشمالية.