رصد باحثون في الأمن السيبراني امتدادًا خبيثًا جديدًا في سجل Open VSX يحمل اسم SleepyDuck، ويخفي في داخله برنامج وصول عن بُعد (RAT) متطورًا يستخدم شبكة البلوكشين الخاصة بإيثريوم للحفاظ على استمرارية الاتصال بخوادم المهاجمين حتى في حال تعطيلها.
آلية الإصابة والتطور الزمني للهجوم
بحسب John Tuckner من شركة Secure Annex، فإن الامتداد المشبوه الذي يحمل اسم juan-bianco.solidity-vlang (الإصدار 0.0.7) نُشر لأول مرة في 31 أكتوبر 2025 كحزمة برمجية عادية، ثم جرى تحديثه إلى الإصدار 0.0.8 في 1 نوفمبر بعد أن تجاوز عدد تحميلاته 14 ألف مرة، مضيفًا قدرات خبيثة جديدة بعد أن اكتسب ثقة المطورين.
يتضمن الامتداد تقنيات لتفادي بيئات التحليل (sandbox evasion) ويعتمد على عقد ذكي في شبكة إيثريوم لتحديث عنوان خادم القيادة والسيطرة (C2) في حال تعطيله.
الأسلوب الفني للامتداد الخبيث
يُفعَّل البرمجية عند فتح نافذة جديدة في محرر الشيفرة أو عند اختيار ملف .sol خاص بلغة Solidity. ويبدأ في البحث عن أسرع مزود RPC لشبكة إيثريوم للاتصال بالبلوكشين، ومن ثم يتصل بخادم المهاجم sleepyduck[.]xyz عبر العقدة 0xDAfb81732db454DA238e9cFC9A9Fe5fb8e34c465.
عقب ذلك، يبدأ حلقة تحقق دورية كل 30 ثانية لاستقبال الأوامر الجديدة، ويجمع معلومات النظام مثل اسم المضيف واسم المستخدم والعنوان الفيزيائي للشبكة (MAC) والمنطقة الزمنية، ثم يرسلها إلى الخادم.
وفي حال حظر النطاق أو الاستيلاء عليه، يمتلك البرمجية آلية احتياطية للاتصال بقائمة محددة من عناوين RPC ضمن شبكة إيثريوم للحصول على تفاصيل الخادم الجديدة من داخل العقدة الذكية نفسها.
استغلال شبكة البلوكشين واستمرارية التحكم
تُظهر التحليلات أن المهاجم أنشأ العقدة الذكية في 31 أكتوبر 2025، وعدّل إعداداتها لاحقًا عبر أربع معاملات متتالية لتحديث الخادم من “localhost:8080” إلى “sleepyduck[.]xyz”.
كما يستطيع الامتداد تحميل إعدادات جديدة من نفس العقدة لتبديل خادم القيادة والسيطرة أو تنفيذ أوامر طارئة على الأجهزة المصابة جميعًا دفعة واحدة، ما يمنحه درجة عالية من المرونة والاستمرارية.
امتدادات خبيثة أخرى في سوق VS Code
كشفت الشركة أيضًا عن مجموعة إضافية من خمس امتدادات ضارة نُشرت في VS Code Marketplace بواسطة مستخدم يحمل الاسم developmentinc، من ضمنها مكتبة تحمل طابع “بوكيمون” تقوم بتنزيل سكربت لتعدين عملة Monero من خادم خارجي mock1[.]su:443 فور تثبيتها.
ينفّذ السكربت عمليات تصعيد للامتيازات باستخدام PowerShell، ويعطل Microsoft Defender عبر استثناء جميع الأقراص من C: إلى Z:، ثم يقوم بتنزيل ملف التعدين وتشغيله في الخلفية.
الامتدادات الخبيثة التي حُذفت لاحقًا من السوق الرسمي كانت على النحو التالي:
developmentinc.cfx-lua-vs
developmentinc.pokemon
developmentinc.torizon-vs
developmentinc.minecraftsnippets
developmentinc.kombai-vs
وتنصح الجهات الأمنية المستخدمين بعدم تنزيل أي امتداد إلا من ناشرين موثوقين، فيما أعلنت Microsoft في يونيو الماضي عن بدء عمليات فحص دورية على مستوى السوق بأكمله لحماية المستخدمين من الامتدادات الضارة. ويمكن الاطلاع على قائمة الامتدادات المحذوفة من صفحة RemovedPackages على GitHub.
