افزونه‌های Visual Studio Code در معرض خطر: بدافزار جدید!

افزونه‌های Visual Studio Code در معرض خطر: بدافزار جدید!

۲۱ آذر, ۱۴۰۴ نویسنده: admin دسته: فناوری اطلاعات

محققان امنیت سایبری یک کمپین مخرب را شناسایی کرده‌اند که از ۱۹ افزونه Visual Studio (VS) Code برای جاسازی بدافزار در پوشه‌های وابستگی آن‌ها استفاده می‌کند. این عملیات، که از فوریه ۲۰۲۵ آغاز شده و در ۲ دسامبر ۲۰۲۵ کشف شد، از یک بسته npm معتبر برای پنهان‌سازی فایل‌های مخرب استفاده کرده و باینری‌های شیطانی را در آرشیوهای ظاهراً بی‌خطرِ شبیه‌ساز PNG قرار داده است.

این روش که توسط ReversingLabs (RL) مشاهده شده، به مهاجمان اجازه می‌دهد تا از بررسی‌های معمول جلوگیری کرده و مستقیماً توسعه‌دهندگان را هدف قرار دهند. برخی از این افزونه‌ها ظاهر ابزارهای محبوب را تقلید می‌کنند، در حالی که برخی دیگر ویژگی‌های جدیدی را تبلیغ می‌کنند اما به‌طور پنهانی کد ناخواسته را اجرا می‌کنند. حتی افزونه‌های معتبر نیز می‌توانند به خطر بیفتند: در جولای گذشته، یک درخواست کشف (pull request) مخرب با افزودن وابستگی مضر به یک پروژه معتبر، آن را آلوده کرد.

در این کمپین جدید، مهاجمان نسخه تغییر یافته‌ای از بسته npm path-is-absolute را در پوشه‌های node_modules افزونه‌ها جاسازی کرده‌اند. آن‌ها همچنین فایلی به نام banner.png را که ظاهراً بی‌خطر بود اما به‌عنوان یک آرشیو حاوی دو باینری باز می‌شد، گنجانده بودند. این فایل‌ها از طریق cmstp.exe، یک باینری LOLBIN (Living-off-the-Land) مشترک، اجرا می‌شوند. یکی از این باینری‌ها فرآیند را متوقف می‌کند و دیگری یک تروجان مبتنی بر Rust است که هنوز در حال بررسی است.

ReversingLabs خاطرنشان کرد که بیشتر افزونه‌های مخرب به وابستگی تغییر یافته path-is-absolute متکی هستند، اما چهار افزونه دیگر به‌طور جایگزین از بسته npm @actions/io برای ذخیره بار (payload) در فایل‌های TypeScript و map استفاده کرده‌اند تا از PNG مبهم‌کننده استفاده نکنند. با وجود تفاوت در روش‌ها، هدف یکسان باقی مانده است: اجرای مخرب نرم‌افزار از طریق اجزای مورد اعتماد.

کشف افزونه‌های مخرب VS Code به طور فزاینده‌ای ضروری شده است. ReversingLabs هشدار می‌دهد که تعداد شناسایی‌ها از ۲۷ مورد در سال ۲۰۲۴ به ۱۰۵ مورد در ده ماه اول ۲۰۲۵ افزایش یافته است. توصیه می‌شود از ابزارهای امنیتی استفاده کنید که قادر به ارزیابی رفتار بسته‌ها باشند.

«ایمنی فقط اجتناب از افزونه‌ها نیست – بلکه تشخیص این نکته است که حتی اجزای مورد اعتماد نیز می‌توانند دستکاری شوند»، ReversingLabs تاکید کرد. تمام افزونه‌های ذکر شده به مایکروسافت گزارش داده شده‌اند.

📌 توجه: این مطلب از منابع بین‌المللی ترجمه و بازنویسی شده است.