كشف خبراء أمنيون عن وجود برمجيات خبيثة في امتداد شائع لمحررات الأكواد، وذلك ضمن مستودع Open VSX. تم تحميل هذا الامتداد، الذي يحمل اسم `fast-draft`، أكثر من 26 ألف مرة، وكشفت التحقيقات عن إخفاءه لبرمجيات ضارة قادرة على تشغيل حصان طروادة للوصول عن بعد (RAT) وبرنامج تجسس على أجهزة المطورين دون سابق إنذار.
تم العثور على نشاط البرمجيات الخبيثة في إصدارات محددة من الامتداد. ففي الإصدارات 0.10.89، و 0.10.105، و 0.10.106، و 0.10.112، كان هناك كود يستهدف مستودع GitHub تابع لجهة تهديدات تطلق على نفسها اسم BlokTrooper. يقوم الامتداد بتحميل وتنفيذ برامج نصية لنظام التشغيل مباشرة من خادم GitHub.
حتى يتم الكشف عن هذا الامتداد، كان العديد من المطورين يعتمدون عليه في مهامهم اليومية. ومع ذلك، فإن إصدارات أخرى من نفس الامتداد، مثل 0.10.88 و 0.10.111، لم تظهر أي سلوك مشبوه، مما يشير إلى احتمال اختراق حساب الناشر أو سرقة رمز الإصدار بدلاً من وجود نوايا خبيثة لدى المطور الأصلي.
خبايا هجوم الامتداد الخبيث على Open VSX
قام محللوAikido بتحديد هذه الثغرة الأمنية خلال مراجعة يدوية دقيقة لإصدارات امتداد `fast-draft`. وقد تم إخطار مطوري الامتداد بتفاصيل المشكلة في 12 مارس 2026، لكنهم لم يقدموا أي رد حتى تاريخ نشر هذا الخبر.
وتشكل هذه الحادثة خطراً كبيراً، إذ أن أي مطور قام بتثبيت الإصدارات المصابة أعطى المهاجمين سيطرة كاملة على جهازه. تعمل البرمجيات الخبيثة على سرقة بيانات الاعتماد للمتصفح، وبيانات المحافظ الرقمية، والملفات المحلية، والأكواد المصدرية، ومحتويات الحافظة.
إن العدد الكبير للتنزيلات، والذي تجاوز 26,594، يوضح النطاق الواسع للخطر المحتمل الذي يهدد المطورين وفرق تطوير البرمجيات حول العالم. تكمن الخطورة الأكبر في كيفية إخفاء البرمجيات الخبيثة داخل أداة يثق بها المطورون بشكل يومي.
تتمتع امتدادات محررات الأكواد بصلاحيات نظام واسعة، مما يجعلها هدفاً جذاباً لهجمات سلسلة التوريد. يشير نمط الإصدارات المتناوب بين النظيف والخبيث إلى وجود وصول متقطع إلى خط أنابيب إصدار الناشر، وهو سيناريو يصعب كشفه بواسطة الفحص الآلي وحده.
تفاصيل آلية الهجوم ثنائية المرحلة
عند تشغيل برنامج التحميل النصي، يقوم بسحب أرشيف ZIP، ثم استخراجه إلى مجلد مؤقت، وأخيراً يقوم بتشغيل أربع عمليات Node.js منفصلة، تضطلع كل منها بجزء من الهجوم.
الوحدة الأولى تتصل بخادم القيادة والتحكم (C2) عبر منفذ معين باستخدام Socket.IO، مما يمنح المهاجم تحكماً مباشراً في حركة الماوس، وإدخال لوحة المفاتيح، والتقاط لقطات الشاشة، وقراءة محتويات الحافظة.
الوحدة الثانية تقوم بمسح ملفات تعريف المتصفحات الشائعة مثل Chrome، و Edge، و Brave، و Opera عبر أنظمة التشغيل المختلفة، لسرقة كلمات المرور المحفوظة وبيانات الويب. كما تستهدف 25 امتداداً للمحافظ الرقمية، مثل MetaMask، و Phantom، و Coinbase Wallet، و Trust Wallet، وترسل البيانات المجمعة إلى خادم C2.
تتولى الوحدة الثالثة مهمة المسح المتكرر للدلائل المنزلية بحثاً عن المستندات، وملفات البيئة، والمفاتيح الخاصة، وسجل الأوامر، والأكواد المصدرية. يتم استثناء مجلدات معينة، مما يدل على استهداف دقيق لبيئات المطورين المعتمدة على الذكاء الاصطناعي.
أما الوحدة الرابعة، فتقوم بفحص الحافظة بشكل دوري كل بضع ثوانٍ، وترسل المحتوى الملتقط – بما في ذلك عبارات استرداد المحفظة، ومفاتيح API، وكلمات المرور – مباشرة إلى خادم C2.
يُنصح المطورون بالتحقق فوراً من أي تثبيت لامتداد `fast-draft` بالإصدارات المذكورة وإزالته دون تأخير. يجب أيضاً تغيير جميع بيانات الاعتماد المخزنة، وعبارات استرداد المحافظ الرقمية، ومفاتيح API على الأجهزة المتأثرة. بالإضافة إلى ذلك، يجب على فرق الشبكات حظر ومراقبة جميع حركة المرور الصادرة إلى عنوان IP الخاص بخادم C2 والمنافذ المستخدمة، وتمييز أي طلبات إلى رابط GitHub الخاص بـ BlokTrooper في سجلات الشبكة.