اختراق الكود: إضافات خبيثة لـ VSCode تحول أدوات المطورين إلى لصوص بيانات

العنوان الفرعي: امتدادان مارقان لـ Visual Studio Code سرقا سراً بيانات الاعتماد، ومحافظ العملات الرقمية، وأكثر من ذلك - مما يثير تساؤلات عاجلة حول أمان سلسلة التوريد في بيئة المطورين.

عندما تقوم بتثبيت إضافة جديدة في Visual Studio Code، تتوقع زيادة الإنتاجية، وليس الخطر. لكن اكتشافاً حديثاً من باحثي Koi Security قلب هذه الثقة رأساً على عقب: امتدادان يبدوان بريئين - يتظاهران بأنهما سمة لونية ومساعد ذكاء اصطناعي - كانا يسحبان بهدوء أكثر بيانات المطورين حساسية. تكشف هذه الحادثة الجانب المظلم من سلسلة توريد البرمجيات، حيث يمكن حتى للأسواق الموثوقة أن تصبح دون قصد قنوات للجريمة الإلكترونية.

حقائق سريعة

الإضافات الخبيثة: تم العثور على “Bitcoin Black” و “Codo AI” في سوق Visual Studio Code الرسمي.
سرقة البيانات: سرقت الإضافات كلمات المرور، وملفات تعريف الارتباط للمتصفح، ومحافظ العملات الرقمية، وحتى لقطات الشاشة.
تقنيات التخفي: استخدم البرمجيات الخبيثة اختطاف DLL، وسكريبتات PowerShell، ومتصفحات بدون واجهة رسومية لتجنب الكشف.
معدل اكتشاف منخفض: فقط 29 من أصل 72 محرك مضاد فيروسات أشار إلى الـ DLL الخبيث.
استجابة مايكروسوفت: تم إزالة كلا الإضافتين من السوق منذ ذلك الحين.

كيف وقع الهجوم

الإضافتان “Bitcoin Black” (تتظاهر بأنها سمة لونية) و “Codo AI” (تتظاهر بأنها مساعد برمجة بالذكاء الاصطناعي)، تم نشرهما تحت اسم المطور “BigBlack”. رغم أن أرقام التنزيل كانت منخفضة - أقل من 30 لـ Codo AI وواحدة فقط لـ Bitcoin Black - إلا أن تأثيرهما كان يمكن أن يكون كارثياً لو لم يتم اكتشافهما. كلا الإضافتين احتوتا على ملف Lightshot تنفيذي شرعي مرفق مع DLL خبيث. عند تحميل هذا الـ DLL، قام بنشر برمجية سرقة معلومات باسم runtime.exe على جهاز الضحية.

الإصدارات المبكرة من Bitcoin Black اعتمدت على سكريبتات PowerShell التي كانت تنبه المستخدمين مؤقتاً عبر نافذة منبثقة - وهو خطأ تم تصحيحه بسرعة. الإصدارات اللاحقة انتقلت إلى سكريبتات دفعية أكثر خفاءً تستخدم curl لتحميل الملفات الخبيثة بهدوء في الخلفية. أنشأ البرمجيات الخبيثة مجلدات مخفية في مجلد %APPDATA%\Local\Evelyn الخاص بالضحية، حيث خزن البيانات المسروقة: معلومات النظام، محتوى الحافظة، بيانات اعتماد Wi-Fi، لقطات الشاشة، وقائمة شاملة بالعمليات الجارية والبرامج المثبتة.

ما بعد بيانات الاعتماد: سرقة العملات الرقمية واختطاف الجلسات

لم تتوقف برمجية سرقة المعلومات عند كلمات المرور. استهدفت محافظ العملات الرقمية مثل Phantom وMetamask وExodus، بهدف سرقة الأصول الرقمية. لاختطاف جلسات المتصفح، أطلقت البرمجيات الخبيثة متصفحي Chrome وEdge في وضع بدون واجهة رسومية، وسرقت ملفات تعريف الارتباط، وحصلت على وصول إلى الجلسات النشطة على الويب. ومع اكتشاف 29 فقط من أصل 72 محرك مضاد فيروسات على VirusTotal للـ DLL الخبيث، كان العديد من الضحايا سيبقون غير مدركين للخطر.

جرس إنذار لمجتمع المطورين

قامت مايكروسوفت بإزالة كلا الإضافتين من سوق Visual Studio Code، لكن الحادثة تسلط الضوء على خطر متزايد: كلما أصبحت أدوات المطورين أكثر قابلية للتوسعة، أصبحت أهدافاً أكثر جاذبية لمجرمي الإنترنت. سلسلة التوريد آمنة فقط بقدر أضعف حلقة فيها - وفي هذه الحالة، كانت تلك الحلقة زوجاً من الإضافات المارقة المخفية في العلن.