أطلقت مؤسسة أمان بطيئة الحركة تنبيهًا عاجلًا، حيث إن منظمة Lazarus التابعة لكوريا الشمالية، واسم مجموعتها الفرعية HexagonalRodent، تشن هجمات على مطوري Web3. وتستخدم أساليب هندسة اجتماعية مثل الوظائف عن بُعد برواتب مرتفعة لإغراء المطورين بتنفيذ كود تقييم المهارات المتضمن خوادم خلفية لبرمجيات خبيثة، بهدف سرقة الأصول المشفرة. ووفقًا لتقرير التحقيق الصادر عن Expel، بلغت الخسائر خلال أول ثلاثة أشهر من عام 2026 مبلغ 12 مليون دولار أمريكي.
أساليب الهجوم: كود تقييم المهارات هو نقطة الدخول الأساسية للعدوى
أولًا يتواصل المهاجمون مع الهدف عبر LinkedIn أو منصات التوظيف، أو ينشئون مواقع شركات مزيفة لنشر معلومات وظائف، وذلك لإقناع المطورين بتشغيل كود خبيث بحجة «تقييم مهارات العمل من المنزل». يتضمن كود التقييم مسارين للعدوى:
هجوم VSCode tasks.json: إدخال الكود الخبيث في ملف tasks.json مع توجيه runOn: folderOpen، بحيث يتعين على المطورين فقط فتح مجلد ملفات الكود في VSCode، ويتم تشغيل البرمجية الخبيثة تلقائيًا.
بوابة خلفية مضمّنة داخل الكود: كود التقييم نفسه يتضمن بوابة خلفية؛ يتم تشغيل العدوى عند تنفيذ الكود، ويقدّم بوابة بديلة للمطورين الذين لا يستخدمون VSCode.
يتضمن البرنامج الخبيث المستخدم: BeaverTail (أداة سرقة معلومات متعددة الوظائف لـ NodeJS)، وOtterCookie (Shell عكسية لـ NodeJS)، وInvisibleFerret (Shell عكسية لـ Python).
أول هجوم على سلسلة الإمداد: اختراق امتداد fast-draft VSX
في 18 مارس 2026، شن HexagonalRodent هجومًا على سلسلة الإمداد ضد امتداد VSCode «fast-draft»، ونشر OtterCookie عبر نشره للامتداد المخترق. أكدت بطيئة الحركة أنه في 9 مارس 2026، أصيب مستخدم يحمل الاسم نفسه لمطوّر امتداد fast-draft بالفعل بـ OtterCookie.
في حال الاشتباه بأن النظام قد تم اختراقه، يمكن استخدام الأوامر التالية للتحقق مما إذا كان متصلًا بخادم C2 معروف (195.201.104[.]53):
MacOS/Linux: netstat -an | grep 195.201.104.53
Windows:netstat -an | findstr 195.201.104.53
سوء استخدام أدوات الذكاء الاصطناعي: تم تأكيد استخدام ChatGPT وCursor بشكل خبيث
يستخدم HexagonalRodent بكثافة ChatGPT وCursor لدعم الهجمات، بما في ذلك إنشاء كود خبيث وبناء مواقع شركات مزيفة. تتمثل العلامة الرئيسية لتحديد كود خبيث مولّد بالذكاء الاصطناعي في الاستخدام الكبير للرموز التعبيرية (وهو أمر نادر للغاية في الكود المكتوب يدويًا).
قامت Cursor بحظر الحسابات وIPs ذات الصلة خلال يوم عمل واحد؛ كما أكدت OpenAI أنها عثرت على استخدام محدود لـ ChatGPT، مشيرة إلى أن المساعدة التي كانت تسعى إليها هذه الحسابات تقع ضمن سيناريوهات الاستخدام الآمن والتجاري المزدوج لحالات شرعية، ولم يتم العثور على نشاط مستمر لتطوير برمجيات خبيثة. وقد تم تأكيد تدفقات الأموال لِما لا يقل عن 13 محفظة مصابة متجهة إلى عناوين إيثروم معروفة مرتبطة بكوريا الشمالية، مع استلام أكثر من 1.1 مليون دولار أمريكي.
الأسئلة الشائعة
كيف يحمي مطورو Web3 أنفسهم من هذا النوع من الهجمات؟
تتضمن تدابير الحماية الأساسية ما يلي: (1) درجة عالية من اليقظة تجاه جهات التوظيف غير المألوفة، لا سيما الفرص التي تطلب إكمال تقييم كود العمل من المنزل؛ (2) فتح مستودعات أكواد غير مألوفة في بيئة معزولة بدل النظام الرئيسي؛ (3) فحص ملف tasks.json في VSCode بانتظام للتأكد من عدم وجود مهام runOn: folderOpen غير مصرح بها؛ (4) استخدام مفاتيح أمان عتادية لحماية المحافظ المشفرة.
كيف يمكنني التأكد مما إذا كان نظامي مصابًا؟
قم بتنفيذ أوامر الفحص السريع: مستخدمو MacOS/Linux يشغلون netstat -an | grep 195.201.104.53، ومستخدمو Windows يشغلون netstat -an | findstr 195.201.104.53. إذا وجدت اتصالًا مستمرًا بخادم C2 معروف، فيجب قطع الاتصال فورًا وإجراء فحص شامل للبرمجيات الخبيثة.
لماذا اختار HexagonalRodent اختيار NodeJS وPython كلغات للبرمجيات الخبيثة؟
عادةً ما يكون مطورو Web3 قد قاموا بالفعل بتثبيت NodeJS وPython على أنظمتهم، وبالتالي يمكن دمج العمليات الخبيثة في أنشطة المطورين العادية دون إثارة إنذارات. هاتان اللغتان ليستا من الأشياء الرئيسية التي تراقبها أنظمة مكافحة البرمجيات الخبيثة التقليدية؛ وبالإضافة إلى استخدام أدوات خلط الأكواد التجارية، يصبح اكتشاف التوقيعات أمرًا بالغ الصعوبة.
إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة من مصادر خارجية ولا تمثل آراء أو مواقف Gate. المحتوى المعروض في هذه الصفحة هو لأغراض مرجعية فقط ولا يشكّل أي نصيحة مالية أو استثمارية أو قانونية. لا تضمن Gate دقة أو اكتمال المعلومات، ولا تتحمّل أي مسؤولية عن أي خسائر ناتجة عن استخدام هذه المعلومات. تنطوي الاستثمارات في الأصول الافتراضية على مخاطر عالية وتخضع لتقلبات سعرية كبيرة. قد تخسر كامل رأس المال المستثمر. يرجى فهم المخاطر ذات الصلة فهمًا كاملًا واتخاذ قرارات مدروسة بناءً على وضعك المالي وقدرتك على تحمّل المخاطر. للتفاصيل، يرجى الرجوع إلى
إخلاء المسؤولية.
