تُنفذ حملة هندسة اجتماعية متطورة وموجهة بدقة، أطلق عليها Microsoft Threat Intelligence اسم "المقابلة المعدية"، وتستهدف بشكل نشط مطوري البرمجيات. تبدأ سلسلة الهجوم بإغراء مقنع للغاية: دعوة لمقابلة عمل مزيفة لوظيفة مطور مربحة، غالباً ما تتقمص شركات مشروعة ومعروفة. يتم عادةً إرسال هذه الدعوات عبر منصات الشبكات المهنية مثل LinkedIn أو عبر رسائل بريد إلكتروني مباشرة تبدو وكأنها صادرة عن مسؤولي التوظيف في الشركات. يستثمر الجهات الفاعلة الخبيثة جهداً كبيراً في إنشاء ملفات تعريف مزيفة وصياغة أوصاف وظيفية ذات مصداقية لبناء الثقة مع أهدافهم ذات القيمة العالية—المحترفين الذين يمكنهم الوصول إلى الكود الخاص والأنظمة الحرجة.
بمجرد تفاعل الهدف، ينقل المهاجمون المحادثة إلى تطبيق مراسلة رئيسي مثل Skype أو WhatsApp. تحت غطاء الفحص التقني، يرسل "المحاور" للمرشح ملفاً لتحدي برمجي أو مواصفات مشروع. هذا الملف، غالباً ما يكون أرشيفاً بسيطاً (مثل ملف .RAR) مُسماً ليطابق الوظيفة المزيفة (مثال: "Test_Project.rar")، هو ناقل الهجوم الأساسي. عندما يقوم الضحية باستخراج وفتح الملف الموجود داخل الأرشيف—وعادةً ما يكون ملف اختصار (.LNK)—فإنه يُطلق عملية عدوى معقدة متعددة المراحل. هذه العملية تنتهي بنشر بوابة خلفية قوية، حددتها Microsoft على أنها برنامج **DARKME** الضار، والذي يمنح المهاجمين وصولاً مستمراً عن بُعد لجهاز الضحية.
يتميز التنفيذ التقني للهجوم بأنه متخفي بشكل ملحوظ. يستخدم ملف .LNK الأولي تقنيات "العيش على الأرض"، مستغلاً أدوات Windows المشروعة مثل `mshta.exe` لتنفيذ كود JavaScript ضار. يقوم هذا النص البرمجي بعد ذلك بجلب الحمولة الضارة للمرحلة التالية من خادم يتحكم فيه المهاجم. الحمولة النهائية، وهي البوابة الخلفية DARKME، هي قطعة متطورة من البرامج الضارة قادرة على التلاعب بالملفات، وسرقة البيانات، وتنفيذ أوامر عشوائية تتلقاها من خادم القيادة والتحكم (C2). يسمح تصميمها بالاندماج مع نشاط النظام الطبيعي، مما يجعل اكتشافها بواسطة برامج الأمن التقليدية أكثر صعوبة.
تؤكد هذه الحملة تحولاً حاسماً في تكتيكات مجرمي الإنترنت: استغلال الطموح المهني وعملية التوظيف الرسمية كسلاح. بالنسبة للمطورين والمنظمات، فإن العواقب وخيمة. يمكن لجهاز مطور واحد تم اختراقه أن يكون رأس جسر لسرقة الملكية الفكرية، أو هجمات سلسلة التوريد، أو مزيد من الانتقال الجانبي إلى الشبكات المؤسسية. تتطلب الدفاع يقظة متزايدة. يجب على المحترفين التحقق بدقة من هوية مسؤولي التوظيف، وأن يكونوا متشككين في المقابلات التي تتخطى قنوات الموارد البشرية القياسية، وألا ينفذوا ملفات من مصادر غير موثوقة أبداً. يجب على المنظمات تعزيز تدريب التوعية الأمنية، وتغطية نواقل الهندسة الاجتماعية الجديدة هذه على وجه التحديد، وضمان وجود حلول قوية لاكتشاف نقاط النهاية والاستجابة (EDR) للقبض على مثل هذه التسللات متعددة المراحل.
