كشفت شركات أمنية عن تضليل تقني جديد استهدف مطوري البرمجيات، حيث تم استغلال إضافة شهيرة لبيئة التطوير المتكاملة Visual Studio Code (VS Code) منتحلةً اسم “Material Icon Theme” لتحويلها إلى باب خلفي سري يسيطر على أجهزة المستخدمين على نظامي التشغيل ويندوز وماك. تم بث هذه الإضافة الخبيثة عبر متجر الإضافات الخاص بـ VS Code، مما وفر للمهاجمين مساراً مباشراً للاختراق بمجرد تثبيتها.
الإضافة المزيفة، التي كانت تحمل تصنيفاً يبدو طبيعياً كمدير سمات للأيقونات، حافظت على سلوكها الظاهري الطبيعي عند التثبيت، مما قلل من فرص الشكوك لدى المستخدمين. لكن خلف الكواليس، احتوت الحزمة على برنامجي تجسس (implants) مكتوبين بلغة Rust، وتم تصميمهما لتنفيذ شفرات برمجية أصلية على كلا النظامين المستهدفين.
آلية الاختراق عبر إضافة VS Code
تمكن باحثو الأمن السيبراني من شركة Nextron Systems من تحديد وتتبع هذه البرامج الضارة بدءاً من الإصدار 5.29.1 من الإضافة. وأوضحوا أن ملفات البرامج الضارة تعكس هيكل المجلدات للإضافة الحقيقية، مما يسهل تمويهها. عند تفعيل الإضافة داخل Visual Studio Code، يتم تحميل برنامج التجسس المناسب للنظام التشغيلي الحالي.
بمجرد تحميل الشفرة الخبيثة، تتحول الإضافة من مجرد أداة مساعدة إلى أداة تحميل (loader) لمراحل لاحقة يتم التحكم بها بالكامل عن بعد. هذا يعني أن الجهاز المخترق يصبح تحت سيطرة المهاجمين دون علم المستخدم.
سلسلة القيادة والتحكم (C2)
تتميز البرامج الخبيثة المطورة بلغة Rust بعدم استخدام عناوين URL ثابتة للاتصال بخوادم القيادة والتحكم. بدلاً من ذلك، تستمد تعليماتها من بيانات مخزنة في عنوان محفظة رقمية على شبكة بلوكتشين سولانا (Solana blockchain wallet)، مما يجعل قناة التحكم صعبة الحجب.
يتم تشغيل وظيفة تحميل الشفرة الخبيثة عبر ملف extension.js. عند تنشيطها، تقوم هذه الوظيفة بتحميل برنامج التجسس المناسب لمنصة المستخدم، مثل “os.node” لنظام ويندوز أو “darwin.node” لنظام ماك. بعد ذلك، تنتقل السيطرة بالكامل إلى الشفرة الخبيثة.
تقوم الشفرة الأصلية بقراءة بيانات المحفظة، ثم تقوم بفك تشفيرها ومعالجتها. بعد ذلك، تتصل بـ “خادم قيادة” لتحميل ملف JavaScript ضخم مشفر باستخدام AES-256-CBC.
آلية احتياطية وسلسلة C2
كآلية احتياطية، يمكن جلب المرحلة التالية من الاختراق من خلال حدث مخفي على تقويم جوجل. يتم تخزين عنوان URL للبرنامج الضار داخل هذا الحدث باستخدام خدع خاصة تتعلق بترميز الأحرف غير المرئية. هذا التنوع في قنوات الاتصال يوضح مرونة المهاجمين وقدرتهم على التكيف.
بهذا الاكتشاف، يتضاعف التأكيد على أهمية الحذر عند تثبيت إضافات البرامج، خاصة تلك التي تتعامل مع بيئات التطوير الحساسة. وتتواصل الجهود الأمنية لمراقبة وتتبع التهديدات الرقمية وحماية المستخدمين من هذه الهجمات المتطورة.