کمیته رکن چهارم – گروهی از محققان امنیتی اعلام کردند که چند افزونه و بسته نرمافزاری (پکیج) آلوده در ابزارهای محبوب برنامهنویسی مانند VS Code، Go، Node.js و Rust کشف شدهاند. این افزونهها و پکیجها برای سرقت اطلاعات شخصی کاربران، مخصوصاً برنامهنویسها، ساخته شدهاند.
به گزارش کمیته رکن چهارم، بعضی از این افزونههای خطرناک در فروشگاه VS Code منتشر شده بودند. کاربران با نصب آنها ناخواسته اجازه میدادند بدافزارها اجرا شوند و اطلاعاتی مانند رمز وایفای، محتوای کلیپبورد، کوکیهای مرورگر، اسکرینشات و رمز حسابهای مهمشان دزدیده شود.
همچنین در سیستمهای برنامهنویسی مانند Go، Node.js و Rust، پکیجهایی شناسایی شدهاند که خیلی شبیه به پکیجهای اصلی و سالم بودند اما در واقع حاوی کدهای جاسوسی و مخرب بودند. این ترفند که به آن “تایپواسکوات” میگویند باعث میشود کاربر فکر کند پکیج درست را نصب کرده، اما در واقع در دام افتاده است.
برخی از این بدافزارها حتی میتوانند از راه دور سیستم را کنترل کرده یا اطلاعات را به سرورهای ناشناس ارسال کنند.
به کاربران توصیه میشود افزونهها و پکیجهایی را نصب کنند که از منبع مطمئن و شناختهشده باشند، حتماً قبل از نصب به نام و تعداد نصب آنها دقت کنند، و از ابزارهایی برای بررسی امنیت برنامههای نصبشده استفاده کنند. همچنین پیشنهاد میشود از اجرای کدها و برنامههای ناشناس در محیطهای اصلی سیستم خودداری کرده و تا جای ممکن از محیطهای آزمایشی یا جداگانه استفاده شود.
