كشف باحثون أمنيون عن حملة تجسس واسعة النطاق تستهدف المطورين عبر سوق Visual Studio Code (VS Code)، حيث تم اكتشاف 19 إضافة خبيثة تسللت إلى المنصة منذ فبراير 2025. تهدف هذه الإضافات إلى اختراق أجهزة المطورين عن طريق إخفاء برمجيات خبيثة في مجلدات الاعتماديات الخاصة بها، مما يجعلها تتجاوز إجراءات الكشف الأمنية.
تعكس هذه الحملة تحولاً في أساليب المهاجمين نحو استهداف سلسلة توريد البرمجيات. بدلاً من استخدام تهديدات واضحة، ابتكر المهاجمون إضافات تحاكي الحزم الشرعية أو تدعي تقديم ميزات حقيقية. عند تثبيتها، تعمل هذه الإضافات بصمت في الخلفية وتنفذ التعليمات البرمجية الضارة، مما يزيد من صعوبة اكتشافها.
حملة التهديدات السيبرانية على VS Code Marketplace
تكمن الخطورة في هذه الحملة في طريقة الإخفاء المبتكرة التي استخدمها المهاجمون. فقد قاموا بتضمين ملفات قابلة للتنفيذ ضمن ما يبدو أنه ملفات صور عادية، تحديداً ملفات PNG. هذا الأسلوب يضيف طبقة إضافية من الخداع، حيث أن المطورين لن يتوقعوا أبداً أن يحتوي ملف رسومي على رمز تنفيذي.
تأتي هذه الحملة في ظل اتجاه مقلق. ففي الأشهر العشرة الأولى من عام 2025، ارتفعت اكتشافات البرامج الضارة على VS Code مقارنة بعام 2024، حيث زادت من 27 حالة إلى 105 حالة. هذا الارتفاع الحاد يشير إلى أن سوق VS Code أصبح هدفاً جذاباً بشكل متزايد bagi للمتسللين الذين يسعون إلى الوصول إلى مجتمعات المطورين.
تفاصيل الآلية التقنية
وفقاً لمحللي ReversingLabs الأمنيين، تستغل البرمجيات الخبيثة الطريقة التي تُبنى بها إضافات VS Code. عادةً ما تأتي الإضافات مع جميع اعتماداتها مسبقاً في مجلد node_modules، مما يسمح لها بالعمل دون الحاجة إلى تنزيل مكونات إضافية. اكتشف الباحثون أن المهاجمين استغلوا حزمة npm الشهيرة “path-is-absolute”، والتي تم تنزيلها أكثر من 9 مليارات مرة منذ عام 2021.
من خلال إضافة تعليمات برمجية ضارة إلى اعتماديات هذه الحزمة ضمن إضافاتهم، حول المهاجمون مكوناً موثوقاً به إلى آلية لتوصيل برامج التروجان. هذا يشكل تهديداً كبيراً لسلسلة توريد البرمجيات.
آلية العدوى التقنية
تبدأ عملية العدوى عند تشغيل VS Code. يحتوي ملف index.js المعدل للحزمة على فئة جديدة يتم تشغيلها تلقائيًا عند بدء التشغيل. تقوم هذه الفئة بفك تشفير “dropper” (برنامج مسقط) JavaScript مخفي داخل ملف banner.png الخبيث. تم إخفاء “dropper” نفسه عبر تشفير base64 وعكس السلاسل النصية، مما يجعل التحليل اليدوي صعباً.
عند تنفيذه، يقوم هذا “dropper” بنشر ثنائيين خبيثين باستخدام cmstp.exe، وهي أداة Windows شرعية يستغلها المهاجمون. يدير أحد هذه الثنائيات عملية الهجوم، بينما هو ثورجان آخر أكثر تعقيداً مكتوب بلغة Rust، ولم يتم التحقق من قدراته الكاملة بعد عند اكتشافه.
يُذكر أن أربع إضافات في الحملة استخدمت طرقاً بديلة، حيث قامت بتقسيم الثنائيات إلى ملفات .ts و .map منفصلة بدلاً من إخفائها في أرشيفات PNG. توصي فرق التطوير بالتدقيق الفوري في الإضافات المثبتة، والتحقق من مصادرها، واستخدام أدوات الفحص الأمني قبل التثبيت لمنع التعرض للاختراق.