كشفت أبحاث أمنية حديثة عن حملة برمجيات خبيثة استهدفت آلاف المطورين عبر امتداد وهمي على متجر Visual Studio Code Marketplace. تم discovery هذا الامتداد الخبيث، المدعو “prettier-vscode-plus”، في 21 نوفمبر 2025، وتم تصميمه لخداع المطورين بانتحال صفة أداة تنسيق الأكواد الشهيرة Prettier.
يُشكل هذا النوع من الهجمات تهديداً كبيراً لمجتمع المطورين، حيث يستغل الامتداد شهرة العلامة التجارية لـ Prettier لاستهداف المطورين الباحثين عن أدوات لتحسين جودة أكوادهم. ويهدف هذا النشر الخبيث إلى سرقة بيانات الاعتماد الحساسة.
امتداد خبيث على VS Code يهدد المطورين
تم الكشف عن هجوم متطور استهدف المطورين من خلال امتداد خبيث على Visual Studio Code Marketplace. استغل الامتداد، الذي حمل اسم “prettier-vscode-plus” وبدا مطابقاً تقريباً للامتداد الشرعي “Prettier – Code Formatter”، الثقة التي يضعها المطورون في الأدوات الشائعة.
قامت فرق الأبحاث الأمنية في Checkmarx بتحديد المخاطر وتقديم بلاغ بشأن الامتداد، مما أدى إلى إزالته من المتجر في غضون أربع ساعات فقط من نشره. ومع ذلك، قبل هذه الإزالة السريعة، نجح الامتداد في جمع ست عمليات تنزيل وثلاث عمليات تثبيت.
آلية عمل البرمجية الخبيثة
بحسب التحقيقات، فإن الامتداد الخبيث كان يعمل على نشر نسخة من برمجية Anivia Stealer. هذه البرمجية مصممة خصيصاً لسرقة المعلومات الحساسة من أنظمة ويندوز، مع تركيز خاص على بيانات تسجيل الدخول، والبيانات الوصفية، وحتى محادثات واتساب الخاصة.
كشفت هذه الحادثة عن مدى تعقيد الهجمات التي تستهدف اختراق حسابات المطورين وسرقة بيانات المصادقة القيمة، مما يتطلب يقظة مستمرة من قبل مجتمع المطورين.
استراتيجيات متقدمة للتهرب والكشف
اعتمدت البرمجية الخبيثة على بنية متعددة المراحل لعملية النشر، بهدف التهرب من الكشف بواسطة أدوات الأمان الشائعة. تضمنت المرحلة الأولى الحصول على البيانات المشفرة (base64-encoded blob) من مستودع GitHub.
بعد ذلك، تم كتابة كود (VBScript) إلى الدليل المؤقت للنظام لتشغيله. عمل سكريبت VBS هذا كآلية تشغيل أولية، حيث أطلق أوامر PowerShell لفك تشفير البيانات باستخدام مفتاح تشفير AES (“AniviaCryptKey2024!32ByteKey!HXX”) مباشرة في الذاكرة، دون ترك أي ملفات على القرص.
هذه الطريقة قللت بشكل كبير من الآثار التي يمكن تتبعها لأغراض التحقيق الجنائي، مما يجعل اكتشاف الهجوم أكثر صعوبة لأنظمة الأمان. بالإضافة إلى ذلك، تم تزويد البرمجية الخبيثة بتقنيات تهرب متقدمة، مثل الكشف عن بيئات المحاكاة (sandbox environments)، وفحص عدد وحدات المعالجة المركزية (CPU) وحجم الذاكرة المتاح لتجنب التفعيل في غرف الفحص.
تُظهر هذه البنية المتطورة مهام تقوم بها جهات فاعلة سيئة ماهرة، تمكنت من تطوير هجوم مصمم خصيصاً لتجاوز حلول الكشف والاستجابة لنقاط النهاية (Endpoint Detection and Response – EDR).