استُخدمت إضافة برمجية خبيثة لبرنامج Visual Studio Code، تنتحل صفة "M I T" الشهيرة، لمهاجمة مستخدمي Windows وmacOS، محولةً هذه الإضافة إلى ثغرة أمنية خفية.
تم نشر هذه الإضافة المزيفة عبر السوق مع ملفات مزيفة، مما يمنح المهاجمين مسارًا مباشرًا إلى محطات عمل المطورين بمجرد تثبيتها.
بعد التثبيت، عملت الإضافة كأيقونة عادية، لذا لم يكن لدى معظم المستخدمين أي سبب للشك في وجود أي مشكلة.
في الخلفية، احتوت الحزمة على برمجيتين مبنيتين على Rust، جاهزتين لتشغيل الكود الأصلي على كلا نظامي التشغيل، والاتصال بخادم أوامر عن بُعد.
اكتشفت باحثو الأمن N S من تحديد عمليات الزرع في الإصدار 5.29.1 وتتبعوا تنفيذها إلى برنامج نصي للتحميل يسمى extension.js تم وضعه في dist/extension/desktop بجوار الحمولات الأصلية os.node على Windows و darwin.node على macOS.
هذا كيف تقوم الملفات الضارة بعكس شجرة المجلد الخاصة بالامتداد الحقيقي لتندمج.
بمجرد تفعيل الامتداد في VS Code، يُحمّل extension.js برمجية Rust المزروعة المناسبة للمنصة الحالية، ويُسلّم التحكم إلى شيفرة المُهاجم.
منذ تلك اللحظة، يتوقف الامتداد عن كونه إضافةً غير ضارة، ويصبح مُحمّلًا لمراحل أخرى يتم التحكم فيها بالكامل من خارج جهاز المُهاجم.
آلية العدوى وسلسلة الأوامر
يقدم هذا القسم شرحًا تقنيًا شاملًا لكيفية تواصل الغرسات مع خادم الأوامر الخاص بها وجلبها لحمولات المتابعة.
لا تستخدم ثنائيات Rust عنوان URL ثابتًا، بل تسحب تعليماتها من البيانات المخزنة في عنوان محفظة Solana blockchain، والذي يعمل كقناة تحكم يصعب حظرها.
يظهر أدناه عرض مبسط لمنطق المُحمّل في extension.js:
function activate() {
const bin = process.platform === "win32" ? "os.node" : "darwin.node";
const native = require(__dirname + "/desktop/" + bin);
native.run();
} يقوم الكود الأصلي بقراءة بيانات المحفظة، وفك تشفيرها باستخدام base64، ثم يتصل بخادم الأوامر لتنزيل كائن base64 كبير، وهو عبارة عن ملف JavaScript مشفر باستخدام AES-256-CBC.
كنسخة احتياطية، يمكن أيضًا جلب نفس المرحلة التالية من حدث مخفي في تقويم جوجل، والذي يخزن عنوان URL للحمولة باستخدام حيل يونيكود غير مرئية. هذا C2 من محفظة بلوكتشين إلى النص المُفكك.
.png "English"){kind=small}
0 تعليقات