كشف خبراء الأمن السيبراني عن هجوم تسلسلي تعتمد فيه جهات التهديد على إضافة وهمية لمنصة Visual Studio Code (VSCode) لنشر برمجيات خبيثة تستهدف المطورين. ظهرت هذه الإضافة، المسماة “prettier-vscode-plus”، لفترة وجيزة في متجر VSCode الرسمي قبل إزالتها.
وبمجرد تثبيتها، تقوم الإضافة بسحب نصوص برمجية معدة مسبقًا من مستودع GitHub يحمل اسم “vscode”. يستغل هذا الأسلوب ثقة المطورين في الأدوات التي يستخدمونها يوميًا، مما يفتح الباب أمام اختراقات متقدمة.
استغلال إضافة VSCode الوهمية في هجوم تسلسلي
بدأت جهات التهديد في استغلال الإضافات البرمجية التي يستخدمها المطورون على نطاق واسع، حيث اخترقت بيئة تطوير VSCode عبر إضافة وهمية. تهدف هذه الإضافة إلى استدراج المطورين وتحميل برمجيات خبيثة متقدمة مثل Anivia loader و OctoRAT.
تعتمد طريقة الهجوم على استبدال أيقونات وتسميات الإضافات الشرعية بأخرى خبيثة، مما يجعل من الصعب على المطورين تمييزها. هذا النوع من الهجمات، المعروف باسم هجوم سلسلة التوريد، يعد من أخطر التهديدات الأمنية نظرًا لاستغلاله للثقة في الأدوات البرمجية.
كيف يعمل الهجوم؟
بعد تثبيت الإضافة الخبيثة، تبدأ عملية الهجوم بسحب نصوص برمجية مبطنة من مستودع GitHub. تم تصميم هذه النصوص البرمجية لاجتياز آليات الأمان الأولية وإعداد النظام لخطوات لاحقة.
تتضمن الخطوة التالية كتابة ودفع ملف PowerShell إلى المجلد المؤقت للنظام. يقوم هذا الملف بتشغيل حملة خبيثة، مع الحرص على إخفاء أي نوافذ مرئية للمستخدم لضمان عدم اكتشاف العملية.
تمكن محللو الأمن في Hunt.io من تتبع نشاط هذه الإضافات المشبوهة. ربطوا بين تنزيلات VBScript غير العادية ومستودع GitHub، بالإضافة إلى القائمة القصيرة للإضافة التي تم حذفها لاحقًا.
البرمجيات الخبيثة النهائية: OctoRAT و Anivia Loader
يصل تأثير الهجوم إلى مرحلته النهائية مع نشر OctoRAT، وهي أداة وصول عن بعد متقدمة. يتم نشرها عبر مكون وسيط يعرف بـ Anivia loader.
تتيح هذه البرمجيات الخبيثة للمهاجمين التحكم الكامل في أنظمة المطورين، بما في ذلك تنفيذ الأوامر، وسرقة البيانات من المتصفحات ومحافظ العملات الرقمية، والتحكم عن بعد في سطح المكتب.
على الرغم من أن الإضافة لم يتم تثبيتها سوى من قبل عدد قليل من المستخدمين، فإن الأهداف تعد قيمة للغاية. غالبًا ما يمتلك المطورون وصولًا إلى أكواد المصدر وأنظمة الإنتاج الحساسة، مما يجعل اختراقهم ذا تأثير بالغ.
سلسلة العدوى وسلوك الحمولة
تبدأ عملية الإصابة ببرنامج إسقاط VBScript يقوم بإنشاء ملف PowerShell عشوائي في المسار المؤقت. يملأ هذا الملف بعبء حمولة AES مشفرة.
يستخدم البرنامج النصي كائنات COM مثل WScript.Shell لتشغيل الحمولة دون الحاجة إلى موافقة المستخدم. لاحقًا، يقوم OctoRAT بتعيين مهمة “WindowsUpdate” لضمان استمرار تشغيله.
يقوم PowerShell Loader بفك تشفير الحمولة المدمجة باستخدام AES-256 في وضع CBC، وينفذ النتيجة مباشرة في الذاكرة.
يتولى Anivia زمام الأمور، حيث يقوم بتخزين حمولته المشفرة في مصفوفة بايت، ويستخدم مفتاحًا ثابتًا لفك تشفير ملف قابل للتنفيذ. يتم حقن هذه الحمولة في عملية vbc.exe الموثوقة عبر تقنية “process hollowing” لتجنب اكتشاف برامج الحماية.
من هناك، يبدأ OctoRAT في العمل، ويقوم بإعداد مهمة WindowsUpdate لإعادة التشغيل المنتظم، ويفتح قناة اتصال مشفرة مع خوادم التحكم الخاصة بالمهاجمين. هذه الخيوط التقنية توضح كيف يمكن لإضافة واحدة وهمية في VSCode أن تؤدي إلى اختراق كامل.