رصد باحثون في الأمن السيبراني إضافة خبيثة على منصة Open VSX تحمل اسم “Angular-studio.ng-angular-extension”، وتتنكر كأداة لتطوير تطبيقات Angular. إلا أن الإضافة تخفي وظائف ضارة يتم تفعيلها عند فتح أي ملف HTML أو TypeScript، حيث تبدأ بتنفيذ شيفرة JavaScript مشفرة لجلب حمولة إضافية من عنوان URL مخزن في حقل الملاحظات لمحفظة Solana باستخدام تقنية EtherHiding عبر طلبات RPC إلى شبكة Solana الرئيسية.
خصائص معمارية متقدمة
الهجوم مصمم بحيث يتجنب التنفيذ على الأنظمة التي تحمل مؤشرات محلية روسية، وهو نمط شائع في البرمجيات الخبيثة المرتبطة بجهات تهديد ناطقة بالروسية لتفادي الملاحقة القضائية المحلية. هذه البنية تمنح المهاجمين عدة مزايا:
- ثبات البيانات عبر البلوك تشين، ما يضمن بقاء إعدادات التكوين إلى أجل غير مسمى.
- إمكانية تحديث روابط الحمولة دون الحاجة لتعديل الإضافة المنشورة.
الحمولة النهائية
الحمولة الأخيرة التي يتم نشرها هي برمجية Stealer Malware قادرة على:
- سرقة بيانات الاعتماد من أجهزة المطورين.
- تنفيذ سرقات للعملات الرقمية.
- إنشاء آليات استمرارية لضمان بقاء الوصول.
- تسريب البيانات إلى خادم يتم استدعاؤه من خلال حدث في Google Calendar، وهو أسلوب مبتكر لإخفاء البنية التحتية للهجوم.
دلالات أمنية
هذا النوع من الهجمات يعكس تطور أساليب المهاجمين في استغلال منصات التطوير المفتوحة المصدر، حيث يتم دمج تقنيات البلوك تشين مع أدوات يومية يستخدمها المطورون. كما أن استغلال خدمات موثوقة مثل Google Calendar لإخفاء قنوات التحكم والسيطرة يزيد من صعوبة الكشف المبكر.
