كشف باحثون في الأمن السيبراني عن تفاصيل حملة برمجيات خبيثة جديدة تستهدف المطورين عبر استغلال منظومة إضافات Visual Studio Code (VS Code). البرمجية التي أُطلق عليها اسم Evelyn Stealer صُممت خصيصاً لسرقة بيانات حساسة تشمل بيانات اعتماد المطورين والمعلومات المرتبطة بالعملات المشفرة، مع إمكانية استخدام بيئات التطوير المخترقة كنقاط دخول إلى أنظمة مؤسسية أوسع.
بحسب تحليل نشرته شركة Trend Micro، فإن الحملة تركز على المؤسسات التي تعتمد على VS Code وإضافاته الخارجية، خصوصاً تلك التي تمتلك وصولاً إلى أنظمة الإنتاج والموارد السحابية والأصول الرقمية.
إضافات خبيثة تسقط حمولة ضارة
التفاصيل الأولى للحملة ظهرت عبر شركة Koi Security الشهر الماضي، حيث تم رصد ثلاث إضافات خبيثة تحمل أسماء:
- BigBlack.bitcoin-black
- BigBlack.codo-ai
- BigBlack.mrbigblacktheme
هذه الإضافات كانت تُسقط ملف DLL ضار باسم Lightshot.dll، يقوم بتنفيذ أوامر PowerShell مخفية لجلب حمولة ثانية باسم runtime.exe. الملف التنفيذي يقوم بفك تشفير الحمولة الرئيسية وحقنها مباشرة في عملية نظام شرعية (grpconv.exe) داخل الذاكرة، ما يسمح بجمع البيانات الحساسة وإرسالها إلى خادم بعيد عبر بروتوكول FTP.
بيانات حساسة تحت الخطر
من بين المعلومات التي يتم جمعها بواسطة Evelyn Stealer:
- محتوى الحافظة (Clipboard)
- التطبيقات المثبتة
- محافظ العملات المشفرة
- العمليات الجارية في النظام
- لقطات شاشة لسطح المكتب
- بيانات شبكات Wi-Fi المخزنة
- معلومات النظام
- بيانات اعتماد وملفات تعريف الارتباط من متصفحي Google Chrome وMicrosoft Edge
البرمجية تتخذ إجراءات مضادة للكشف، مثل تعطيل عمليات المتصفح النشطة لضمان جمع البيانات بسلاسة، وتشغيل المتصفح في وضع مخفي عبر مجموعة من الأعلام (Flags) التي تمنع التتبع أو التدخل الأمني، مثل –headless و–disable-extensions و–no-sandbox.
موجة جديدة من برمجيات سرقة البيانات
أشارت Trend Micro إلى أن البرمجية تنشئ كائن mutex لضمان تشغيل نسخة واحدة فقط على الجهاز المصاب، ما يمنع تكرار التنفيذ. هذه الحملة تعكس استهدافاً مباشراً لمجتمعات المطورين باعتبارهم أهدافاً عالية القيمة في منظومة تطوير البرمجيات.
تزامن الكشف مع ظهور عائلتين جديدتين من برمجيات السرقة المبنية على لغة Python:
- MonetaStealer: قادر على استهداف أنظمة macOS وسرقة بيانات شاملة.
- SolyxImmortal: يستخدم واجهات برمجية نظامية ومكتبات خارجية متاحة علناً لاستخراج بيانات حساسة وإرسالها عبر Discord webhooks إلى خوادم المهاجمين، مع التركيز على التخفي والاستمرارية بدلاً من التنفيذ السريع أو السلوك التدميري.
هذا التطور يبرز أن الهجمات لم تعد تقتصر على المستخدمين التقليديين، بل امتدت إلى المطورين أنفسهم، الذين يمثلون بوابة رئيسية إلى البنية التحتية الرقمية للمؤسسات.
