مهاجمون يستهدفون فيجوال ستوديو كود بنشر برمجيات خبيثة متعددة المراحل

يتعرض المطورون لخطر متزايد مع قيام الجهات الفاعلة في مجال التهديدات بتحويل أدوات التطوير الموثوقة، مثل Visual Studio Code، إلى منصات هجومية. يستغلون النظام البيئي الغني للإضافات في هذه البيئات لإدخال برمجيات خبيثة متعددة المراحل إلى أجهزة المطورين، مما يهدد البيانات الحساسة.

أحدث حملة اكتشفت، والتي أطلق عليها اسم “Evelyn Stealer”، تكمن وراء امتداد خبيث يهدف إلى سرقة المعلومات. تسعى هذه الهجمات بشكل خاص إلى استهداف المطورين، الذين غالباً ما يمتلكون مفاتيح الوصول إلى الكود المصدري، ووحدات التحكم السحابية، والأصول الرقمية القيمة، مما يجعلهم هدفاً مغرياً.

جهات التهديد تستغل Visual Studio Code لنشر برمجيات خبيثة

تبدأ العملية عندما يقوم الضحية بتثبيت إضافة لـ Visual Studio Code تم اختراقها، وتبدو مفيدة أو غير ضارة. خلف الكواليس، تقوم هذه الإضافة بإسقاط مكون وهمي باسم Lightshot.dll، والذي يتم تحميله لاحقاً بواسطة أداة التقاط الشاشة الشرعية Lightshot.exe.

من هذه النقطة، تتكشف سلسلة البرمجيات الخبيثة. يتم جلب حمولات جديدة، وتشغيل أوامر PowerShell مخفية، وتمهيد الأرضية لظهور الملف التنفيذي النهائي Evelyn Stealer، الذي يقوم بجمع البيانات على نطاق واسع.

أشار محللو Trend Micro إلى أن المهاجمين يستغلون الثقة في سوق Visual Studio Code. يستخدمون الإضافات الخبيثة لإنشاء سلسلة هجوم كاملة، تبدأ من الحمل الأولي وصولاً إلى سرقة البيانات النهائية.

آلية عمل Evelyn Stealer

من خلال إساءة استخدام أداة مألوفة مثل Lightshot، واستخدام تصديرات تبدو موقعة، فإن المرحلة الأولى تندمج في نشاط المطور العادي بينما تقوم بهدوء بإعداد المراحل اللاحقة للاختراق. بمجرد تنفيذها بالكامل، يقوم Evelyn Stealer بجمع كلمات المرور الخاصة بالمتصفحات، وملفات تعريف الارتباط، ومحافظ العملات المشفرة، وجلسات المراسلة، وملفات تعريف VPN، ومفاتيح Wi-Fi، والملفات الحساسة من الجهاز المخترق.

كما يقوم بالتقاط لقطات الشاشة والمعلومات التفصيلية للنظام، ثم يضغط كل ذلك في أرشيف واحد ويرفعه إلى خادم FTP يتحكم فيه المهاجم. بالنسبة للمؤسسات، يمكن أن يؤدي جهاز كمبيوتر محمول واحد لمطور مصاب إلى كشف الكود المصدري، ورموز الوصول السحابي، وبيانات الاعتماد الإنتاجية، مما يحول خطأ في سلسلة الأدوات إلى خرق واسع النطاق.

داخل سلسلة العدوى متعددة المراحل

تتمركز المرحلة الأولى داخل إضافة Visual Studio Code الخبيثة، وتتستر على هيئة Lightshot.dll. يتم تشغيلها بواسطة Lightshot.exe متى قام المستخدم بالتقاط لقطة شاشة.

عند تشغيلها، تقوم هذه الأداة بإنزال وتنفيذ أمر PowerShell مخفي، والذي يقوم بسحب ملف المرحلة الثانية المسمى iknowyou.model من نطاق بعيد، ويتم حفظه كـ runtime.exe، ثم تشغيله.

يقوم حمولة Evelyn Stealer بإنشاء مجلد Evelyn في AppData، ويحقن Edge و Chrome بـ abe_decrypt.dll، ثم يقوم بتحميل ملف مضغوط عبر FTP. تشير تقارير الأمن السيبراني إلى أن استهداف المطورين بهذه الأساليب المتطورة يمثل تحدياً متزايداً للأمن الرقمي.