أفادت تقارير أمنية باكتشاف حملة برمجيات خبيثة جديدة تستهدف بيئات المطورين، تحديداً من خلال متجر Visual Studio Code. تستغل هذه البرمجيات الخبيثة، التي تتجاوز في خطورتها مجرد سرقة البيانات، أدوات المطورين لكبس بصرية لأجهزة الضحايا، مما يمكن المهاجمين من التنصت على أكوادهم ورسائلهم الإلكترونية الخاصة وأدوات التواصل.
يتم توصيل هذه البرمجيات عبر امتدادين يبدوان شرعيين، وهما “Bitcoin Black” للمظهر الداكن و”Codo AI” كمساعد برمجي وظيفي، وكلاهما من نفس الناشر. تستخدم هذه الامتدادات تكتيكات الهندسة الاجتماعية لكسب ثقة المستخدمين قبل تنفيذ الحمولة الخبيثة.
استغلال بيئات المطورين بذكاء
بمجرد التثبيت، تبدأ هذه الامتدادات في سلسلة من الأنشطة الخبيثة التي تتجاوز سرقة البيانات التقليدية. فهي مصممة لجمع محتويات الحافظة، وسرد العمليات قيد التشغيل، وسرقة كلمات مرور شبكات Wi-Fi المخزنة على الجهاز المصاب.
يعد التأثير شديداً، حيث تقوم البرمجيات الخبيثة بالاستيلاء على جلسات المتصفح عن طريق تشغيل Chrome و Edge في وضع “headless”، مما يسمح للمهاجمين بسرقة ملفات تعريف الارتباط الخاصة بالجلسة وتجاوز آليات المصادقة. هذا المستوى من التطفل يحول محطة عمل المطور إلى عقدة مراقبة مخترقة بالكامل.
آليات الهجوم المتقدمة
تمكن محللو الأمن السيبراني من تحديد هذا التهديد بعد تحليل الأنماط السلوكية للامتدادات “Bitcoin Black” و “Codo AI”. وقد سلطت أبحاثهم الضوء على تطور الجهة الفاعلة في التهديدات من استخدام نصوص PowerShell المعقدة إلى أساليب تنفيذ أكثر تبسيطاً.
من خلال تتبع إصدارات البرمجيات الخبيثة، لاحظ الباحثون أن الجهة المهاجمة قامت بتبسيط آلية التسليم لتحسين الموثوقية، متحولة من ملفات ZIP المحمية بكلمة مرور إلى التنزيلات المباشرة باستخدام أدوات النظام الأصلية مثل curl. تشير هذه المثابرة والقدرة على التكيف إلى خصم عازم يركز على تحسين أساليبه لتحقيق أقصى قدر من الكفاءة.
الانتشار الخبيث والتهرب من الكشف
يعد اختطاف مكتبات الارتباط الديناميكي (DLL hijacking) مكوناً رئيسياً في هذا الهجوم، والذي يستخدم لتجنب الكشف وإنشاء المثابرة. تقوم البرمجيات الخبيثة بتنزيل ملف تنفيذي شرعي وموقع من أداة أخذ لقطات الشاشة الشهيرة والمعروفة باسم “Lightshot”، بالإضافة إلى ملف DLL خبيث.
عند تشغيل الملف التنفيذي الموقع، فإنه يقوم تلقائياً بتحميل DLL المهاجم بدلاً من ملف DLL الأصلي، وهي تقنية غالباً ما تتجاوز المرشحات الأمنية التي تسمح بالملفات الثنائية المعروفة. ثم يقوم الكود الضار بإنشاء دليل مؤقت في مجلد AppData الخاص بالمستخدم ويشير إلى وجوده باستخدام “mutex” فريد لمنع العدوى المتعددة.
هذا التمويه الماهر يسمح لأداة سرقة المعلومات بالعمل سراً أثناء تسريب البيانات الحساسة إلى خادم القيادة والتحكم. يمثل هذا الهجوم تطوراً مقلقاً في التهديدات السيبرانية، حيث يستهدف أدوات المطورين التي يعتمد عليها الكثيرون في عملهم اليومي.