هایو - هدر به سبک AWS
از /

افزونه‌های مخرب VSCode در حال اسکرین‌شات گرفتن و سرقت اطلاعات توسعه‌دهندگان

دو افزونه مخرب برای Microsoft Visual Studio Code (VSCode) به‌تازگی شناسایی شده‌اند که با ظاهری کاملاً عادی، اطلاعات حساس توسعه‌دهندگان را سرقت می‌کنند؛ از گرفتن اسکرین‌شات و خواندن کلیپ‌بورد گرفته تا سرقت رمزهای وای‌فای و ربودن نشست‌های مرورگر.

این حمله که توسط محققان امنیتی شرکت Koi Security کشف شده، نشان می‌دهد مهاجمان سایبری به‌صورت هدفمند جامعه توسعه‌دهندگان را نشانه گرفته‌اند.

افزونه های مخرب در VSCode

افزونه‌هایی که خود را بی‌خطر نشان می‌دهند

این دو افزونه با نام‌های:

  • Bitcoin Black (در ظاهر یک تم تیره حرفه‌ای)

  • Codo AI (در ظاهر یک دستیار هوش مصنوعی برای کدنویسی)

در فروشگاه رسمی VSCode منتشر شده بودند، اما در واقع هر دو یک بدافزار سرقت اطلاعات (Infostealer) را روی سیستم قربانی اجرا می‌کردند.

به گفته ایدان داردیکمن، هم‌بنیان‌گذار و CTO شرکت Koi Security:

«این بدافزار فقط به سرقت اطلاعات ورود بسنده نمی‌کند؛ بلکه صفحه نمایش شما را ضبط کرده و برای مهاجم ارسال می‌کند. کدها، ایمیل‌ها، پیام‌های اسلک، هر چیزی که روی صفحه شماست.»

سرقت گسترده اطلاعات حساس از طریق افزونه های خطرناک در VSCode

بر اساس گزارش منتشرشده، این بدافزار قادر است:

  • 📸 گرفتن اسکرین‌شات از کل سیستم

  • 🔑 سرقت نام کاربری و رمزهای عبور

  • 📋 خواندن محتوای کلیپ‌بورد

  • 🌐 ربودن نشست‌های فعال مرورگر

  • 📶 استخراج رمزهای وای‌فای

  • 💰 دسترسی به کیف پول‌های رمزارزی

و همه این‌ها تنها از طریق دو افزونه ظاهراً ساده انجام می‌شود؛ یکی تم رنگی و دیگری ابزار هوش مصنوعی.

حذف افزونه‌ها از مارکت VS Code

پس از افشای این موضوع:

  • افزونه Bitcoin Black در تاریخ ۵ دسامبر

  • افزونه Codo AI در تاریخ ۸ دسامبر

از فروشگاه رسمی Visual Studio Code حذف شدند.
همچنین یک افزونه دیگر از همان ناشر با نام BigBlack.mrbigblacktheme نیز هم‌زمان حذف شده است.

چرا توسعه‌دهندگان هدف جذابی هستند؟

کارشناسان امنیتی تأکید می‌کنند که پلتفرم‌های توسعه نرم‌افزار مانند:

  • GitHub

  • npm

  • PyPI

  • crates.io

به بخش حیاتی زنجیره تأمین نرم‌افزار تبدیل شده‌اند و به همین دلیل، هدف بسیار جذابی برای مهاجمان سایبری محسوب می‌شوند.

نفوذ به ابزارهای توسعه می‌تواند به مهاجمان اجازه دهد:

  • به کدهای حساس دسترسی پیدا کنند

  • بدافزار را به‌صورت زنجیره‌ای منتشر کنند

  • اطلاعات شرکت‌ها و کاربران نهایی را به خطر بیندازند

چرا Bitcoin Black مشکوک بود؟

طبق توضیحات Koi Security:

  • تم‌های واقعی VS Code فقط فایل JSON هستند

  • نیازی به اجرای اسکریپت، PowerShell یا activation event ندارند

اما Bitcoin Black:

  • دارای entry point اجرایی بود

  • با رویداد * روی تمام فعالیت‌های VS Code اجرا می‌شد

  • اسکریپت PowerShell اجرا می‌کرد

که برای یک «تم رنگی» کاملاً غیرعادی و هشداردهنده است.

ترفند پیشرفته: DLL Hijacking

نکته فنی مهم این حمله، استفاده از تکنیک DLL Hijacking است.

مهاجم:

  • ابزار قانونی و امضاشده Lightshot را روی سیستم قربانی اجرا می‌کند

  • اما یک DLL مخرب را کنار آن قرار می‌دهد

  • هنگام اجرا، برنامه قانونی به‌جای DLL اصلی، نسخه مخرب را بارگذاری می‌کند

به این ترتیب:

  • بدافزار از دید بسیاری از ابزارهای امنیتی پنهان می‌ماند

  • فرایند اجرا کاملاً عادی به نظر می‌رسد

جمع‌بندی | زنگ خطر برای توسعه‌دهندگان در VSCode

اگرچه این کمپین نشانه‌هایی از بی‌دقتی (کامنت‌های باقی‌مانده در کد، نام‌های عجیب C2 و Mutex) دارد، اما استفاده از تکنیک‌های حرفه‌ای نشان می‌دهد:

حملات علیه توسعه‌دهندگان جدی‌تر و هدفمندتر از همیشه شده‌اند.

توصیه امنیتی هایو کلود

در هایو کلود به کاربران و توسعه‌دهندگان توصیه می‌کنیم:

  • فقط افزونه‌های کاملاً معتبر و شناخته‌شده نصب کنید

  • مجوزهای افزونه‌ها را بررسی کنید

  • از نصب تم‌ها یا ابزارهای ناشناس خودداری کنید

  • محیط‌های توسعه را روی سرور یا VM ایزوله اجرا کنید

  • از سرورهای امن و زیرساخت ابری با مانیتورینگ فعال استفاده کنید

امنیت توسعه، امنیت محصول نهایی است.

دیدگاه‌ خود را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

Listed on WHTop.com
پیمایش به بالا