كشف باحثون في مجال الأمن السيبراني عن وجود إضافات خبيثة داخل متجر Microsoft Visual Studio Code (VS Code) تدعي تقديم خدمات المساعدة البرمجية عبر الذكاء الاصطناعي، لكنها تقوم سراً بسرقة الأكواد المصدرية وبيانات المطورين وإرسالها إلى خوادم في الصين.
هذه الإضافات، التي حققت أكثر من 1.5 مليون عملية تثبيت ولا تزال متاحة للتحميل، تمثل تهديداً خطيراً لمجتمع المطورين، حيث تعمل كأدوات تجسس متقنة تحت غطاء أدوات برمجية مفيدة، وهو ما حذر منه فريق تيكبامين لمتابعة آخر المستجدات الأمنية.
كيف تعمل حملة MaliciousCorgi للتجسس؟
أطلق الباحثون اسم "MaliciousCorgi" على هذه الحملة الخبيثة، حيث أوضحت التقارير الأمنية أن هذه الإضافات تعمل بالفعل كما هو متوقع منها، مما يجعل اكتشافها أمراً صعباً للغاية.
وتكمن خطورة هذه البرمجيات في استراتيجيتها المخادعة التي تتضمن:
- تقديم اقتراحات الإكمال التلقائي وتصحيح الأخطاء بشكل طبيعي لعدم إثارة الشكوك.
- قراءة محتويات كل ملف يتم فتحه من قبل المطور.
- تشفير البيانات بتنسيق Base64 وإرسالها فوراً إلى خوادم تقع في الصين.
- يتم تفعيل عملية السرقة مع كل تعديل يجريه المطور على الكود.
ما هي أدوات التجسس المخفية داخل الإضافات؟
لم تكتفِ هذه الإضافات بسرقة الأكواد، بل تضمنت ميزات للمراقبة الحقيقية يمكن تفعيلها عن بعد. وقد اكتشف الخبراء وجود إطار مخفي (iframe) بحجم صفر بكسل يقوم بتحميل مجموعات أدوات تطوير برمجيات (SDKs) خاصة بالتحليلات لإنشاء ملفات تعريف دقيقة للمستخدمين.
وتشمل منصات التحليلات المستخدمة في هذه العملية:
- منصة Zhuge.io
- منصة GrowingIO
- منصة TalkingData
- منصة Baidu Analytics
هذه الأدوات تتيح للمهاجمين بصمة الأجهزة وسحب ما يصل إلى 50 ملفاً من مساحة العمل الخاصة بالمطور دون علمه.
ما هي ثغرات PackageGate المكتشفة حديثاً؟
بالتزامن مع هذا الاكتشاف، رصدت شركة أمن سلاسل التوريد ست ثغرات يوم صفر (Zero-day) في مديري حزم JavaScript الشهيرة، والتي أطلق عليها اسم PackageGate.
تؤثر هذه الثغرات على الأدوات التالية:
- مدير الحزم npm
- أداة pnpm
- أداة vlt
- منصة Bun
وأشار تقرير تيكبامين إلى أن هذه الثغرات يمكن استغلالها لتجاوز ضوابط الأمان المخصصة لمنع التنفيذ التلقائي للبرامج النصية أثناء تثبيت الحزم، مما يعرض المطورين لمخاطر هجمات سلاسل التوريد والبرمجيات الخبيثة التي تنتشر بأسلوب الديدان الإلكترونية.
