افزونه‌های آلوده VS Code اطلاعات توسعه‌دهندگان را سرقت می‌کنند

پژوهشگران امنیت سایبری اعلام کردند دو افزونه ظاهراً بی‌خطر در فروشگاه VS Code با پوشش یک تم و ابزار هوش مصنوعی منتشر شده بودند اما در پس‌زمینه اطلاعات حساس کاربران را جمع‌آوری و به سرور مهاجمان ارسال می‌کردند.

به گزارش افتانا، پژوهشگران امنیت سایبری به تازگی دو افزونه جدید در فروشگاه مایکروسافت Visual Studio Code (VS Code) را شناسایی کرده‌اند که با هدف سرقت اطلاعات توسعه‌دهندگان طراحی شده‌اند. این افزونه‌ها در ظاهر یک تم تاریک پرمیوم و یک دستیار برنامه‌نویسی مبتنی بر هوش مصنوعی هستند، اما در واقع حاوی بدافزاری هستند که قابلیت دانلود فایل‌های مخرب اضافی، گرفتن اسکرین‌شات و استخراج اطلاعات از سیستم کاربر را دارد. اطلاعات جمع‌آوری‌شده سپس به سروری که توسط مهاجم کنترل می‌شود، ارسال می‌شوند.

به گفته کارشناسان امنیت سایبری Koi Security، «کدهای شما، ایمیل‌هایتان، پیام‌های Slack و هر چیزی که روی صفحه‌تان باشد، برای مهاجم قابل دسترسی است. و این تازه شروع ماجراست؛ افزونه همچنین رمز وای‌فای، محتوای کلیپ‌بورد و نشست‌های مرورگر شما را سرقت می‌کند.»

افزونه «BigBlack.bitcoin-black» با ۱۶ نصب پنجم دسامبر ۲۰۲۵ توسط مایکروسافت حذف شد و افزونه «BigBlack.codo-ai» با ۲۵ نصب که هشتم دسامبر ۲۰۲۵ حذف شد. افزونه دیگری با نام «BigBlack.mrbigblacktheme» نیز از همان ناشر به دلیل داشتن بدافزار حذف شده است. نسخه‌های اولیه این افزونه‌ها توانایی اجرای یک اسکریپت PowerShell برای دانلود یک آرشیو ZIP رمزگذاری شده از سروری خارجی و استخراج بدافزار اصلی با استفاده از چند روش مختلف را داشتند. نسخه‌ای از این افزونه به صورت ناخواسته پنجره PowerShell را نمایش می‌داد و می‌توانست کاربر را آگاه کند، اما نسخه‌های بعدی این فرایند را با استفاده از اسکریپت Batch و دستور curl مخفی کرده‌اند.

بدافزار از یک فایل اجرایی Lightshot واقعی استفاده می‌کند تا با بهره‌گیری از آسیب‌پذیری DLL hijacking، یک DLL مخرب به نام «Lightshot.dll» را اجرا کند. این بدافزار محتوای کلیپ‌بورد، فهرست برنامه‌های نصب‌شده، پردازش‌های در حال اجرا، اسکرین‌شات دسکتاپ، رمز وای‌فای و اطلاعات دقیق سیستم را جمع‌آوری می‌کند و مرورگرهای Google Chrome و Microsoft Edge را در حالت headless اجرا می‌کند تا کوکی‌ها و نشست‌های کاربری را سرقت کند.

در همین حال، شرکت Socket نیز بسته‌های مخربی در اکوسیستم‌های Go، npm و Rust شناسایی کرده است که قادر به جمع‌آوری اطلاعات حساس هستند. این شامل بسته‌های Go است که نسخه‌های معتبر را تقلید کرده و اطلاعات را هنگام فراخوانی یک تابع خاص به سایت Paste می‌فرستند. در npm، ۴۲۰ بسته با نام‌های مشابه «elf-stats-*» توسط یک مهاجم فرانسوی‌زبان منتشر شده‌اند که برخی شامل کد اجرای reverse shell و سرقت فایل‌ها هستند. در Rust نیز بسته‌ای به نام «finch-rust» منتشر شده که شبیه ابزار بیوانفورماتیک «finch» است و یک خط مخرب دارد که بسته بدافزار «sha-rust» را بارگذاری و اجرا می‌کند.finch-rust به عنوان یک بارگذار بدافزار عمل می‌کند؛ بیشتر کد آن مشروع است اما یک خط مخرب دارد که payload واقعی sha-rust را اجرا می‌کند. این جداسازی باعث می‌شود شناسایی آن سخت‌تر شود؛ finch-rust به تنهایی بی‌ضرر به نظر می‌رسد، در حالی که sha-rust شامل بدافزار واقعی است.