اكتشفت الجهات الأمنية مؤخراً وجود برمجية خبيثة في شكل إضافة جديدة لبرنامج VS Code، تستهدف المطورين الذين يعتمدون على أدوات البرمجة المتطورة في عملهم اليومي.
تم اكتشاف هذه الإضافة، المسماة “ClawdBot Agent” المزيفة، في 27 يناير 2026، حيث قدمت نفسها كأداة مساعدة للذكاء الاصطناعي، إلا أنها كانت تخفي وراءها حمولة خبيثة وجسيمة.
على عكس خدمة Clawdbot الحقيقية، التي لم تصدر أبداً إضافة رسمية لـ VS Code، نجحت هذه الإضافة الدخيلة في تسجيل الاسم أولاً، مما مكنها من خداع المستخدمين ودفعهم لتثبيتها.
وفقًا لخبراء الأمن، فإن النشاط المشبوه لهذه الإضافة بدأ فور تشغيل VS Code، مما لفت انتباه أنظمة المراقبة الأمنية.
آلية عمل إضافة VS Code الخبيثة
تعتمد الخدعة على تقديم الإضافة وظائفها المعلنة بشكل مثالي، حيث تتكامل مع مزودي خدمات الذكاء الاصطناعي المشهورين مثل OpenAI و Anthropic و Google. هذا الأداء السلس خلق شعوراً زائفاً بالأمان لدى المستخدمين، مما جعلهم غير مبالين بأي سلوك قد يكون خبيثًا.
غير أن هذا التصرف كان مجرد تمويه، فبعد ثوانٍ قليلة من التثبيت، بدأت الإضافة هجومها، حيث قامت بنشر برمجيات خبيثة بصمت على أجهزة ويندوز دون علم أو موافقة المستخدم.
يُذكر أن مايكروسوفت استجابت بسرعة بعد تلقي الإشعار، وعملت على إزالة الإضافة من متجرها، مما حد من انتشارها.
الكشف عن طبيعة التهديد
كشف محللو شركة Aikido للأمن السيبراني عن الطبيعة الحقيقية لهذا التهديد بعد تحقيق مفصل. فقد وجدوا أن الإضافة تحتوي على شفرة برمجية معدة للتشغيل تلقائياً في كل مرة يتم فيها تشغيل VS Code.
كانت الشفرة البرمجية، المكتوبة بلغة JavaScript، تقوم بإنشاء اتصال بخادم خارجي لجلب تعليمات التهيئة. هذه التعليمات كانت بدورها مسؤولة عن تنزيل وتنفيذ ملفات خبيثة متعددة، تظهر وكأنها مكونات نظام شرعية.
آلية العدوى ونشر ScreenConnect
يتمثل الجانب الأكثر إثارة للقلق في كيفية استغلال المهاجمين لبرمجيات الوصول عن بعد الشرعية. عند تشغيل البرمجية الخبيثة، تقوم بنشر ScreenConnect، وهي أداة دعم تقني شائعة.
تم تهيئة ScreenConnect للتواصل مع خوادم يسيطر عليها المهاجمون، وتحديداً على العنوان meeting.bulletmailer.net عبر المنفذ 8041. وقد قام المهاجمون بإنشاء خادم إعادة توجيه خاص بهم لـ ScreenConnect، بالإضافة إلى موزعين لعملاء ScreenConnect معدة مسبقاً، وقاموا بتوزيعها من خلال إضافة VS Code.
ونتيجة لذلك، تلقى الضحايا عميل ScreenConnect كاملاً التشغيل دون علمهم، والذي قام فوراً بإنشاء اتصالات وصول عن بعد مع البنية التحتية للمهاجمين.
من جهة أخرى، وفر ملف DLL يعتمد على لغة Rust قدرة توصيل إضافية، حيث كان يقوم بتنزيل حمولات احتياطية من Dropbox، متظاهراً بأنه تحديث لتطبيق Zoom. هذا النهج متعدد الطبقات ضمن نجاح الخطة حتى إذا تم تعطيل خوادم القيادة والتحكم الأساسية.
وقد لجأ المهاجمون إلى ثلاث آليات احتياطية منفصلة، مما يدل على مستوى عالٍ من التخطيط العملياتي.
توصيات للمستخدمين
يُنصح بشدة المستخدمون الذين قاموا بتثبيت هذه الإضافة بإلغاء تثبيتها فوراً، وإزالة ScreenConnect من أنظمتهم، وحظر نطاقات البنية التحتية المتعلقة بها.
كما يُوصى بشدة بتغيير مفاتيح API لأي خدمات تتصل بها الإضافة. يؤكد هذا التهديد على الأهمية القصوى للتحقق من أصالة الإضافات قبل تثبيتها، خاصة تلك المتعلقة بأدوات التطوير الحساسة.