المطورون تحت الحصار: كيف تحولت أدوات البرمجة المزيفة إلى كوابيس سرقة بيانات

العنوان الفرعي: الشيفرات الخبيثة والإضافات في أدوات المطورين الشهيرة تقوم بسحب البيانات الحساسة بهدوء، مما يعرض المبرمجين حول العالم لتهديدات غير مرئية.

بدأ الأمر بنقرة بريئة: سمة جديدة لإضفاء إشراقة على مساحة العمل، أو مساعد ذكي يعد بزيادة الإنتاجية. لكن بالنسبة لعشرات المطورين، فتحت هذه التنزيلات بابًا خلفيًا رقميًا، مما سمح لمجرمي الإنترنت بالتجسس على شيفراتهم ورسائل بريدهم الإلكتروني وأسرارهم. في موجة جديدة واسعة من الهجمات، كشف الباحثون سلسلة من الحزم والإضافات الخبيثة التي تسللت إلى الأدوات التي يثق بها المطورون أكثر من غيرها - من Visual Studio Code إلى مكتبات npm وGo وRust.

حقائق سريعة

إضافات خبيثة لـ VS Code تنكرت كسمة ومساعد ذكاء اصطناعي، وسرقت بيانات ولقطات شاشة.
الحزم التي تمت إزالتها تشمل BigBlack.bitcoin-black وBigBlack.codo-ai، مع أقل من 50 تثبيتًا مجتمعين.
استخدم المهاجمون تقنيات مثل اختطاف DLL، وسكريبتات PowerShell، ومتصفحات بدون واجهة لسرقة بيانات الاعتماد والجلسات.
تم العثور على تهديدات مماثلة في حزم Go وnpm وRust، بعضها نشط منذ عام 2021.
شملت البيانات المسروقة كلمات مرور WiFi، ومحتوى الحافظة، وملفات تعريف الارتباط للمتصفح، والمزيد.

حصان طروادة في صندوق أدواتك

أطلق خبراء الأمن السيبراني من Koi Security وSocket جرس الإنذار بعد اكتشافهم نوعًا جديدًا من أدوات المطورين الملوثة بالبرمجيات الخبيثة. تمكنت إضافتان لـ Visual Studio Code، تنكرتا كسمة داكنة فاخرة ومساعد برمجة مدعوم بالذكاء الاصطناعي، من التسلل إلى السوق الرسمي. أسماؤهم - BigBlack.bitcoin-black وBigBlack.codo-ai - قد تبدو عادية، لكن أفعالهم لم تكن كذلك.

بعد التثبيت، لم تقتصر هذه الإضافات على تعديل الألوان أو اقتراح الشيفرات فقط. بل قامت بهدوء بتنزيل حمولات خبيثة إضافية، وأخذت لقطات شاشة سرية، وجمعت كل شيء من الشيفرات والبريد الإلكتروني إلى رسائل Slack وجلسات المتصفح. لم يكتفِ المهاجمون بالتجسس: بل استهدفوا أيضًا كلمات مرور WiFi، وبيانات الحافظة، وحتى اختطفوا ملفات تعريف الارتباط للمتصفح للاستيلاء على الجلسات.

كانت الحيل التقنية متقدمة. استخدمت الإصدارات الأولى سكريبتات PowerShell لجلب أرشيفات برمجيات خبيثة مخفية، والتي تم فك ضغطها باستخدام أدوات Windows مختلفة. لاحقًا، تم تبسيط الهجوم، حيث تم إخفاء العملية والتحول إلى سكريبتات batch تستخدم curl لتنزيل ملفات ضارة. حتى أن المهاجمين استغلوا برامج شرعية - مثل أداة Lightshot لالتقاط الشاشة - لتحميل شيفرتهم الخبيثة عبر تقنية تسمى اختطاف DLL.

شبكة تهديدات عبر الأنظمة البيئية

لم يتوقف التهديد عند VS Code. فقد وجد باحثو Socket هجمات مماثلة كامنة في أنظمة برمجة أخرى. في Go، قلدت حزم تحمل أسماء مشابهة مكتبات موثوقة وسربت بيانات حساسة كلما تم استدعاء دالة معينة. أما نظام npm فقد شهد تدفقًا من الحزم المشبوهة، صُمم بعضها لفتح قواقع عكسية وسحب الملفات إلى خوادم بعيدة. حتى Rust لم يسلم: حيث أخفى حزمة "finch" المزيفة سطرًا واحدًا من الشيفرة يقوم بتحميل حمولة لسرقة بيانات الاعتماد، متخفيًا بين الدوال الشرعية.

ما هو القاسم المشترك؟ يراهن المهاجمون على ثقة المطورين - وعلى احتمال ألا يلاحظ المبرمجون المشغولون سطرًا خبيثًا واحدًا وسط بحر من الشيفرات أو إضافة تبدو بريئة في سوق مزدحم.