كشف باحثون في الأمن السيبراني عن وجود امتدادين خبيثين في سوق Visual Studio Code (VSCode) مصممين لنشر برنامج فدية (Ransomware) قيد التطوير على المستخدمين.
تفاصيل الهجوم
الامتدادان المزعومان:
ahban.shiba
ahban.cychelloworld
تم حذفهما من قبل مشغلي السوق بعد اكتشافهما.
كيف يعملان؟
وفقًا لشركة ReversingLabs، يحتوي الامتدادان على كود مصمم لتنفيذ أمر PowerShell يقوم بـ:
جلب سكريبت خبيث من خادم تحكم (C2).
تشغيله على جهاز الضحية.
تأثير البرنامج الخبيث
البرنامج النصي المشبوه يشفر الملفات داخل مجلد يسمى testShiba على سطح مكتب Windows.
بعد التشفير، يعرض رسالة تقول:
“تم تشفير ملفاتك. ادفع 1 ShibaCoin إلى ShibaWallet لاستعادتها.”
لكن لا توجد محفظة فعلية أو تعليمات للدفع، مما يشير إلى أن البرنامج لا يزال قيد التطوير.
سياق الهجمات الحديثة على سلاسل التوريد البرمجية
قبل أشهر، اكتشفت شركة أمنية أخرى امتدادات مزيفة تتظاهر بأنها خاصة بـ Zoom، لكنها كانت تنزِّل حمولات ضارة.
الأسبوع الماضي، كشفت Socket عن حزمة Maven خبيثة تحاكي مكتبة scribejava-core، وتسرق بيانات اعتماد OAuth في اليوم 15 من كل شهر (آلية زمنية لتجنب الكشف).
الحزمة لا تزال متاحة للتنزيل من Maven Central منذ يناير ٢٠٢٤.
تكتيك التصيد الإملائي (Typosquatting)
المهاجمون استخدموا أسماءً مشابهة جدًا للحزم الشرعية (مثل io.github.leetcrunch بدلاً من com.github.scribejava).
وفقًا للباحث كوش بانديا:
“هذه الحزمة الخبيثة لديها 6 حزم تابعة، كلها تستخدم أسماءً متقاربة لحزم مشروعة لتعزيز مصداقيتها الوهمية.”
كيف تحمي نفسك؟
✅ تحقق دائمًا من مصدر الامتدادات والحزم قبل تثبيتها.
✅ استخدم أدوات أمنية لفحص التبعيات البرمجية (مثل Socket أو ReversingLabs).
✅ انتبه للأخطاء الإملائية في أسماء الحزم (Typosquatting).
