كشف باحثون في الأمن السيبراني عن حملة خبيثة يقودها فاعل تهديد يُعرف باسم WhiteCobra تستهدف مستخدمي Visual Studio Code وCursor وWindsurf عبر نشر 24 إضافة ضارة في كل من سوق Visual Studio وسجل Open VSX، بهدف سرقة العبارات السرية لمحافظ العملات الرقمية باستخدام برمجية Lumma Stealer.
سرقة عملات رقمية عبر إضافات مزيفة
تُظهر التحقيقات أنّ WhiteCobra يقف أيضًا وراء إضافات سابقة تنكّرت على هيئة لغة البرمجة Solidity، وتمكّنت من نشر برمجيات سرقة بيانات أدّت إلى خسارة نحو 500 ألف دولار من أصول مشفّرة تعود لمطور روسي. وتتمثل الغاية الرئيسية للحملة في الترويج للإضافات عبر منصات التواصل الاجتماعي مثل X، وخداع المطورين لتنزيلها وتشغيلها.
استراتيجية تسويقية وخطط إجرامية مفصلة
بحسب “كتاب إرشادي” داخلي تسرّب من المجموعة، يضع المهاجمون توقعات للأرباح تتراوح بين 10 آلاف و500 ألف دولار، ويقدّمون أدلة تقنية لإعداد بنية التحكم والسيطرة (C2)، إلى جانب تعليمات حول تقنيات الهندسة الاجتماعية واستراتيجيات الترويج على الإنترنت.
تعزيز الثقة عبر التنزيلات الوهمية
تعتمد WhiteCobra كذلك على تشغيل سكربتات آلية لتوليد 50 ألف عملية تنزيل وهمية، مما يمنح الإضافات مظهرًا زائفًا من الشعبية والمصداقية. ووفقًا لشركة Koi Security، فإن هذا الأسلوب يخدع المطورين ونظم المراجعة في الأسواق الرقمية، حيث تبدو الامتدادات وكأنها “آمنة وموثوقة” عند تجاوزها 100 ألف عملية تثبيت، وهو ما يعوّل عليه المهاجمون لإقناع الضحايا.
