كشف باحثون في الأمن السيبراني عن امتدادين جديدين في متجر Visual Studio Code Marketplace صُمّما خصيصًا لاختراق أجهزة المطورين وسرقة بياناتهم عبر برمجيات تجسسية. الامتدادان يبدوان ظاهريًا كـ”ثيم داكن مميز” وأداة ذكاء اصطناعي للمساعدة في البرمجة، لكنهما في الحقيقة يحتويان على وظائف خفية لتنزيل حمولات إضافية، والتقاط صور للشاشة، وسحب بيانات حساسة تُرسل مباشرة إلى خادم يتحكم به المهاجم.
ويقول إيدان داردكمان من Koi Security إن هذه الامتدادات قادرة على الوصول إلى كل ما يظهر على شاشة المطور، بما في ذلك الشيفرات البرمجية، رسائل البريد الإلكتروني، محادثات Slack، إضافة إلى سرقة كلمات مرور شبكات Wi-Fi، وقراءة محتوى الحافظة، والسيطرة على جلسات المتصفح.
وتشمل الامتدادات الضارة التي أزيلت من المتجر: BigBlack.bitcoin-black – تمت إزالته في 5 ديسمبر 2025 BigBlack.codo-ai – تمت إزالته في 8 ديسمبر 2025 كما أزالت مايكروسوفت امتدادًا ثالثًا من نفس الناشر يحمل اسم BigBlack.mrbigblacktheme بعد اكتشاف احتوائه على البرمجية نفسها.
آليات الاختراق وتنفيذ البرمجيات الضارة
يعمل امتداد bitcoin-black عند كل تفاعل داخل VS Code، بينما يدمج Codo AI وظائفه الخبيثة داخل أداة تعمل فعليًا، ما يمنحه قدرة أكبر على التمويه. وتشير التحليلات إلى أن الإصدارات الأولى من هذه الامتدادات كانت قادرة على تنفيذ سكربت PowerShell لتنزيل أرشيف ZIP محمي بكلمة مرور من خادم خارجي، ثم استخراج الحمولة باستخدام أربع طرق مختلفة، من بينها أدوات Windows الأصلية ومكتبات .NET و7-Zip.
ورغم أن أحد الإصدارات كشف نفسه عبر نافذة PowerShell مرئية، فإن الإصدارات اللاحقة أخفت النافذة تمامًا واستبدلت العملية بسكربت Batch يستخدم أمر curl لتنزيل ملف تنفيذي وملف DLL ضار.
وتعتمد العملية على استغلال برنامج Lightshot الشرعي عبر تقنية DLL Hijacking، حيث يتم تحميل ملف DLL خبيث باسم Lightshot.dll يجمع قائمة التطبيقات المثبتة، العمليات الجارية، لقطات الشاشة، كلمات مرور Wi-Fi، ومعلومات النظام التفصيلية. كما يقوم بتشغيل متصفحي Chrome وEdge في وضع headless لسرقة ملفات تعريف الارتباط والسيطرة على جلسات المستخدم.
حزم خبيثة في Go وnpm وRust تستهدف المطورين
تزامن هذا الكشف مع إعلان شركة Socket عن رصد حزم خبيثة في بيئات Go وnpm وRust، تستهدف المطورين عبر سرقة البيانات الحساسة:
- حزم Go مثل github.com/bpoorman/uuid وgithub.com/bpoorman/uid التي تنتحل أسماء مكتبات UUID موثوقة، وتقوم بإرسال البيانات إلى موقع dpaste عند استدعاء دالة “valid”.
- 420 حزمة npm تتبع نمط تسمية elf-stats-*، بعضها يحتوي على شيفرة لتنفيذ Reverse Shell وتسريب الملفات إلى نقطة Pipedream.
- حزمة Rust باسم finch-rust تنتحل أداة bioinformatics الشهيرة “finch”، وتعمل كحامل لحمولة خبيثة عبر مكتبة sha-rust التي تسرق بيانات الاعتماد عند استخدام وظائف معينة داخل المكتبة.
ويؤكد الباحث كوش باندايا أن finch-rust تبدو سليمة عند الفحص السطحي لأنها تعتمد على شيفرة من النسخة الأصلية، لكنها تحتوي على سطر واحد فقط يحمّل ويشغّل الحمولة الخبيثة، ما يجعل اكتشافها أكثر صعوبة.
