افزونه مخرب VS Code با پوشش تم آیکون، کاربران ویندوز و macOS را هدف قرار داد

یک افزونه مخرب Visual Studio Code که خود را به عنوان تم آیکون محبوب "Material Icon Theme" جا زده بود، برای حمله به کاربران ویندوز و macOS و تبدیل این افزونه به یک بک‌دور پنهان مورد استفاده قرار گرفت. این حمله نشان می‌دهد که مهاجمان چگونه از کانال‌های رسمی (مانند Marketplace) برای دسترسی مستقیم به ایستگاه‌های کاری توسعه‌دهندگان سوءاستفاده می‌کنند.

---

مکانیسم حمله و نفوذ

پس از نصب، این افزونه به ظاهر بی‌ضرر، پتانسیل اجرای کد محلی و برقراری ارتباط با یک سرور فرماندهی و کنترل (C2) را فعال می‌کند:

• پوشش فریبنده: افزونه جعلی به طور عادی مانند یک تم آیکون عمل می‌کرد تا هیچ شکی را برنیانگیزد.

• Payload اصلی (ایمپلنت‌های Rust): این بسته حاوی دو فایل پیاده‌سازی (Implants) مبتنی بر زبان Rust بود (os.node برای ویندوز و darwin.node برای macOS). این فایل‌ها قابلیت اجرای کد بومی (Native Code) بر روی سیستم عامل‌های مختلف را فراهم می‌کردند.

• نحوه فعال‌سازی: اسکریپت لودر افزونه (extension.js) در زمان فعال‌سازی افزونه در VS Code، ایمپلنت Rust مخصوص پلتفرم را بارگذاری کرده و کنترل اجرای کد را به مهاجمان منتقل می‌کرد.

کانال‌های فرماندهی و کنترل پیشرفته

مهاجمان از تکنیک‌های پنهان‌کاری پیشرفته‌ای برای کانال‌های C2 استفاده کرده بودند تا شناسایی و مسدودسازی آن دشوار شود:

• استفاده از بلاکچین (Solana): ایمپلنت‌های Rust برای دریافت دستورالعمل‌های اولیه خود از یک آدرس کیف پول بلاکچین Solana استفاده می‌کردند. این امر باعث می‌شود که مسدود کردن یک URL ثابت برای قطع کانال C2 مؤثر نباشد.

• فال‌بک از Google Calendar: به عنوان یک پشتیبان، مرحله بعدی Payload نیز از طریق یک رویداد پنهان Google Calendar که با ترفندهای یونی‌کد نامرئی (Invisible Unicode) آدرس Payload اصلی را ذخیره کرده بود، قابل بازیابی بود.

• تحویل Payload ثانویه: کد بومی (Rust) داده‌های کیف پول بلاکچین را خوانده، آن را دیکد کرده و سپس با سرور C2 تماس می‌گرفت تا یک بسته بزرگ جاوا اسکریپت رمزگذاری شده با AES-256-CBC را دانلود کند.

---

توصیه‌های امنیتی برای توسعه‌دهندگان

این حمله، خطر فزاینده حملات به زنجیره تأمین توسعه‌دهندگان را برجسته می‌کند:

1. بررسی دقیق توسعه‌دهنده: قبل از نصب هر افزونه VS Code، حتی اگر ظاهر آشنایی داشته باشد، نام توسعه‌دهنده و تعداد نصب‌ها را به دقت بررسی کنید.

2. حذف افزونه‌های مشکوک: اگر از این افزونه استفاده کرده‌اید، آن را فوراً حذف کنید و سیستم خود را از نظر وجود کدهای مخرب بررسی نمایید.

3. ابزارهای امنیتی Endpoint: استفاده از ابزارهای امنیتی پیشرفته (مانند EDR) که قابلیت شناسایی Payloadهای مبتنی بر Rust و ارتباطات غیرمعمول C2 (مانند تراکنش‌های بلاکچین) را دارند، توصیه می‌شود.