Netcrook Logo
👤 NEXUSGUARDIAN
🗓️ 25 Nov 2025  

الكود تحت المجهر: كيف سرق امتداد VSCode المارق أكثر من مجرد تنسيقاتك

امتداد مزيف لـ Prettier أطلق لص بيانات متخفي في قلب سوق VSCode، كاشفًا عن المخاطر المستمرة الكامنة في أدوات المطورين الموثوقة.

حقائق سريعة

  • امتداد "Prettier" الخبيث في سوق VSCode قام بتسليم برمجية Anivia Stealer الضارة.
  • تمت إزالة الامتداد بسرعة بعد اكتشاف ثلاث عمليات تثبيت فقط.
  • استخدم الهجوم تقنيات متعددة المراحل وفي الذاكرة لتجنب ترك أدلة على القرص.
  • استهدفت البرمجية الخبيثة بيانات الاعتماد المهنية والبيانات الخاصة، بما في ذلك محادثات واتساب.
  • يسلط الحادث الضوء على المخاطر المستمرة لهجمات سلسلة التوريد البرمجية، حتى في الأسواق الرسمية.

حصان طروادة في السوق

تخيل أنك تفتح صندوق أدواتك وتجد مفتاح ربط مألوف قد تم استبداله بنسخة مطابقة تمامًا - لكن هذه النسخة تسرق مخططاتك سرًا. هذا ما حدث للمطورين الذين قاموا بتنزيل نسخة مارقة من امتداد Prettier الشهير من سوق Visual Studio Code (VSCode). متنكرًا بعلامة تجارية مقنعة، لم يكن هذا المزيف مجرد أداة تنسيق، بل كان وسيلة ماكرة لبرمجية Anivia Stealer الضارة.

كان الاختراق قصير الأمد لكنه مقلق. وبفضل التحرك السريع من باحثي Checkmarx Zero وفريق الأمان في مايكروسوفت، تم تطهير الامتداد من السوق في أقل من أربع ساعات. ومع ذلك، فإن تعقيد الهجوم وجرأته أطلقا جرس إنذار في مجتمع المطورين.

ما وراء الكواليس: كيف تم تنفيذ الهجوم

الامتداد الخبيث، الذي أطلق عليه اسم “prettier-vscode-plus”، كان نسخة شبه مطابقة للأصل، لكنه كان يدير عملية سرية في الخلفية. عند التثبيت، كان يجلب حمولة مشفرة من مستودع GitHub بعيد. مثل دمية ماتريوشكا رقمية، كل خطوة تكشف طبقة أخرى: يتم إسقاط وتنفيذ سكريبت مؤقت، ثم يُمحى بسرعة لإخفاء الآثار.

الحمولة النهائية - Anivia Stealer - لم تلمس القرص الصلب أبدًا. بدلاً من ذلك، تم فك تشفيرها وتشغيلها مباشرة في ذاكرة الحاسوب، مما يجعل اكتشافها صعبًا للغاية على أدوات مكافحة الفيروسات التقليدية. حتى أن البرمجية الخبيثة كانت تتحقق من وجود علامات على أنها قيد التحليل في بيئة اختبار وتتراجع إذا بدا الأمر مصطنعًا بشكل مريب.

ليست الأولى، وربما ليست الأخيرة

هذه الحادثة جزء من اتجاه مقلق: المهاجمون يستهدفون سلاسل التوريد البرمجية عبر إدخال شيفرات خبيثة في قنوات توزيع موثوقة. شوهدت تكتيكات مماثلة في هجوم SolarWinds الشهير ومع أدوات تطوير أخرى مثل npm وPyPI. ووفقًا لتقارير من Snyk وKaspersky، فإن مثل هذه التهديدات في ازدياد مع إدراك المهاجمين لقيمة استهداف الأدوات التي تُبنى بها البيئة الرقمية.

المخاطر كبيرة. فعند اختراق بيئة التطوير، يمكن للمجرمين الوصول إلى أسرار الشركات وبيانات الاعتماد وحتى الرسائل الشخصية، كما ظهر مع شهية Anivia Stealer لبيانات واتساب.

سباق تسلح في السوق

بينما استجابت مايكروسوفت والباحثون الأمنيون بسرعة هذه المرة، إلا أن الحادثة تكشف عن لعبة قط وفأر مستمرة. المهاجمون يتطورون، ويتبنون أساليب مراوغة أكثر - مثل التنفيذ في الذاكرة وفحوصات مقاومة التحليل - بينما يجب على المدافعين البقاء يقظين، وفحص حتى الأسماء والناشرين المألوفين.

بالنسبة للمطورين والمؤسسات، الدرس واضح: الثقة، لكن مع التحقق. قم بتثبيت الامتدادات فقط من ناشرين موثوقين، وابقِ الحماية على الأجهزة محدثة، وفكر في تقييد الامتدادات الخارجية في البيئات الحساسة.

في عالم يمكن فيه حتى لأدوات البرمجة المفضلة أن تتحول إلى أسلحة، فإن اليقظة ليست اختيارية. قد يكون الامتداد المارق التالي مختبئًا بالفعل في الظلال - بانتظار نقرة واحدة غير حذرة.

ويكي كروك

  • Visual Studio Code (VSCode): Visual Studio Code (VSCode) هو محرر شيفرة مجاني وشهير يدعم الإضافات، صُمم لتعزيز إنتاجية المطورين ودعم العديد من اللغات.
  • سوق الإضافات: سوق الإضافات هو متجر إلكتروني يمكن للمستخدمين من خلاله العثور على إضافات وتثبيتها لتوسيع ميزات تطبيقاتهم البرمجية.
  • داخل التطبيق: نظام الدفع داخل التطبيق يتيح للمستخدمين شراء سلع أو خدمات رقمية مباشرة من داخل التطبيق، مما يوفر الراحة وتحكمًا أكبر في الإيرادات للمطورين.
  • هجوم سلسلة التوريد: هجوم سلسلة التوريد هو هجوم إلكتروني يستهدف مزودي البرمجيات أو الأجهزة الموثوقين، وينشر البرمجيات الخبيثة أو الثغرات إلى العديد من المؤسسات دفعة واحدة.
  • حمولة: الحمولة هي الجزء الضار من الهجوم الإلكتروني، مثل الفيروس أو برامج التجسس، يتم تسليمه عبر رسائل بريد إلكتروني أو ملفات خبيثة عند تفاعل الضحية معها.
VSCode Marketplace Anivia Stealer Supply Chain Attack
NEXUSGUARDIAN NEXUSGUARDIAN
Supply Chain Security Architect
← Back to news