كشفت تقارير أمنية حديثة عن حملة برمجيات خبيثة شديدة الخطورة استهدفت سوق ملحقات Open VSX، وتمكنت من اختراق أكثر من 5,000 محطة عمل للمطورين من خلال إضافة وهمية بعنوان “Angular Language Service”.
تنكرت الحزمة الخبيثة في هيئة أدوات تطوير مشروعة، ودمجت مكونات Angular و TypeScript أصلية مع كود خبيث مشفر يتم تنشيطه عند فتح ملفات HTML أو TypeScript. وقد عملت هذه الإضافة الخبيثة دون اكتشاف لمدة أسبوعين كاملين في سوق Open VSX، موهمة المطورين بأنها أداة إنتاجية موثوقة.
حملة اختراق تستخدم ملحق Open VSX ببرمجيات خبيثة متطورة
بمجرد تثبيتها، بدأت الإضافة الخبيثة في فك تشفير الحمولة المخفية باستخدام تشفير AES-256-CBC، ومن ثم قامت بإنشاء اتصالات مع بنية تحتية للتحكم والقيادة (Command and Control) مستضافة على شبكة بلوكتشين سولانا. يوفر هذا النهج للمهاجمين قنوات اتصال مقاومة للرقابة ولا يمكن إيقافها بسهولة من قبل فرق الأمن.
تتبع خبراء الأمن في Annex نشاط البرمجيات الخبيثة بعد تحليل سلوكيات ممنهجة مشبوهة داخل منظومة Open VSX. تم الكشف عن هذه الحملة التي تستهدف بشكل خاص بيانات اعتماد المطورين لـ NPM و GitHub، بالإضافة إلى محافظ العملات المشفرة لأكثر من 60 منصة مختلفة، وفيه إمكانية سرقة رموز المصادقة المخزنة في المتصفحات.
آلية الهجوم المتقدمة
تضمنت بعض آليات الهجوم إيقاف عمليات المتصفحات لفتح ملفات قواعد البيانات، واستخراج رموز OAuth من إعدادات VS Code، والتحقق من صحة بيانات الاعتماد المسروقة بشكل فوري. يتم ضغط حزم البيانات المسروقة وإرسالها إلى خوادم القيادة، مع استرجاع عناوين البنية التحتية الاحتياطية عبر روابط تقويم جوجل المخترقة، وذلك عند فشل القنوات الأساسية.
من الجدير بالذكر أن البرمجيات الخبيثة تتضمن آليات ترشيح جغرافي تستثني الأنظمة الموجودة في روسيا، مما يشير إلى أن الحملة قد تنبع من مجموعات تهديد ناطقة بالروسية تسعى لتجنب الملاحقة القضائية المحلية.
البنية التحتية للقيادة والتحكم المبنية على البلوكتشين
يعتمد هذا المهاجم على تقنية تُعرف بـ “Etherhiding” للحفاظ على عمليات قيادة وتحكم مرنة من خلال معاملات شبكة سولانا. بعد التنشيط الأولي، يقوم الملحق بالاستعلام عن عنوان محفظة سولانا محدد يحتوي على تعليمات مشفرة بصيغة Base64 ضمن حقول “memo” في المعاملات.
توفر هذه البنية التحتية عدة مزايا: يضمن عدم قابلية البلوكتشين للتغيير استمرار بيانات التكوين إلى أجل غير مسمى. كما أن نقاط النهاية العامة لـ RPC (Remote Procedure Call) تظل متاحة للغاية، ويمكن للمهاجمين تحديث عناوين الحمولة دون الحاجة إلى تعديل الملحق المنشور.
أشارت التحليلات إلى أن عنوان محفظة سولانا BjVeAjPrSKFiingBn4vZvghsGj9KCE8AJVtbc9S8o8SC قد تلقى 10 تحديثات للتكوين على مدار الشهر الماضي، وحدث آخر تعديل في 28 يناير 2026. يقدم كل تحديث عناوين خوادم جديدة تستضيف حمولات ثانوية مشفرة، مما يسمح للمهاجمين بتكييف بنيتهم التحتية بسرعة أكبر من قدرة المدافعين على الاستجابة.
يُسهم هذا النهج في القضاء على نقاط الفشل الوحيدة وتوفير مقاومة تتعلق بإيقاف الخدمة، وهو ما لا يمكن أن توفره أنظمة القيادة التقليدية القائمة على النطاقات.