---
title: درس مهم برای توسعه‌دهندگان؛ بدافزاری در npm که از VS Code و بلاکچین سوءاستفاده می‌کرد 
date: 2026-07-01T10:20:22Z
modified: 2026-07-01T10:20:24Z
permalink: "https://nooshdaroo.ir/cybersecurity-basics/hijacked-npm-vscode-tasks/"
type: post
status: publish
excerpt: ""
wpid: 14011
categories:
  - مبانی امنیت
  - خبر و تحلیل
tags:
  - top-section-overwrite
  - امنیت سایبری
author:
  - Hooshyar
  - ZiaeiShayan
featured_image: "https://nooshdaroo.ir/wp-content/uploads/2026/07/NPM-Araki-Illustrations-Alamy.webp"
featured_image_alt: لوگوی npm با بافت کاغذی
---

حملات «زنجیره تامین نرم‌افزار» وارد مرحله‌ای پیچیده‌تر شده‌اند و یک مثال تازه نشان می‌دهد هکرها ابزارهای روزمره برنامه‌نویسان را هدف گرفته‌اند. محققان «جی‌فراگ» دو بسته آلوده در مخزن npm به‌ نام‌های html-to-gutenberg و fetch-page-assets شناسایی کردند که با روشی تازه، برخی سازوکارهای امنیتی متداول را دور می‌زدند. با اینکه بسته‌های آلوده اکنون حذف شده‌اند، اما بررسی فرایندی که طی می‌شد، درسی مهم برای توسعه‌دهندگان به همراه دارد.

بدافزار با سوءاستفاده از قابلیت اجرای خودکار در VS Code و با استفاده از بلاکچین به‌عنوان کانال مخفی تبادل داده (Dead Drop)، اطلاعات حساس، اعتبارنامه‌ها و کیف‌پول‌های رمزارز توسعه‌دهندگان را هدف قرار می‌داد.

## تله‌ای پنهان در تنظیمات ویرایشگر

بسته‌های آلوده معمولاً کدها را هنگام نصب اجرا می‌کنند که به‌سادگی توسط ابزارهای امنیتی رصد می‌شود. اما در این موج جدید، مهاجمان کدهای مخرب را خارج از مسیرهای نصب قرار دادند. آن‌ها کد اجرایی را در یک فایل فونت جعلی به آدرس public/fonts/fa-solid-400.woff2 پنهان کردند تا احتمال شناسایی توسط برخی ابزارهای امنیتی را کاهش دهند.

برای فعال‌سازی بدافزار، فایلی به نام tasks.json در پوشه پنهان .vscode ایجاد می‌شد که حاوی وظیفه‌ای با نام eslint-check بود. با تنظیم گزینه runOn روی folderOpen، در صورتی که کاربر پروژه را «Trusted Workspace» اعلام می‌کرد، این وظیفه هنگام باز شدن پوشه اجرا می‌شد. ضمناً فایل با حجم زیادی فضای خالی آغاز می‌شد تا در نگاه نخست خالی و بی‌خطر به نظر برسد، در حالی که کدهای جاوا اسکریپت مخرب در انتهای آن پنهان بودند.

---

  [ ![تصویرسازی زنجیری که حلقه میانی آن با شمایل فردی دارای کلاه قرمز در حال شکستن است و مفهوم نفوذ به زنجیره تأمین و آلودگی بسته‌های ردهت را نشان می‌دهد](https://nooshdaroo.ir/wp-content/uploads/2026/06/ChatGPT-Image-Jun-2-2026-04_19_55-PM.webp) ](https://nooshdaroo.ir/safe-ecommerce-selling/reredhat-npm-packages-compromised/) 

 

#####  [وقتی اعتماد به زنجیره‌ی تامین می‌شکند؛ ماجرای آلودگی ۳۲ بسته npm رِدهَت](https://nooshdaroo.ir/safe-ecommerce-selling/reredhat-npm-packages-compromised/) 

 

 

   [ ![لوگوی گیت‌هاب کنار نوار آدرسی که آدرس سایت گیت‌هاب را نشان می‌دهد.](https://nooshdaroo.ir/wp-content/uploads/2026/06/hackers-infiltrate-github-by-compromising-employee-device_9822.1920.webp) ](https://nooshdaroo.ir/news-opinion/microsoft-open-source-tools-hack/) 

 

#####  [ده‌ها پروژه متن‌باز مایکروسافت در گیت‌هاب به بدافزار آلوده شد](https://nooshdaroo.ir/news-opinion/microsoft-open-source-tools-hack/) 

 

 

  

---

## بلاکچین در نقش کانال مخفی تبادل داده 

تکنیک متمایز این حمله، استفاده از شبکه‌های عمومی بلاکچین برای دریافت مرحله دوم بدافزار بود. برای کاهش وابستگی به سرورهای فرمان و کنترل، بارگذار اولیه‌ی (Loader) بدافزار به سرویس TronGrid و شبکه Aptos متصل می‌شد تا هَش یک تراکنش مشخص را بازیابی کند.

سپس با فراخوانی شبکه هوشمند BNB، داده‌های رمزگذاری‌شده‌ای که به‌صورت هگزادسیمال در ورودی تراکنش قرار گرفته‌اند، رمزگشایی و در حافظه اجرا می‌شوند. این روش، وابستگی بدافزار به سرورهای فرمان سنتی را کاهش می‌دهد و تا زمانی که این شبکه‌های بلاکچین در دسترس باشند، مهاجمان می‌توانند مرحله بعدی بدافزار را به‌روزرسانی کنند.

## هدف نهایی: سرقت هویت و دارایی‌ها

بدافزار پس از ایجاد مسیر نفوذ، یک اسکریپت پایتون برای سرقت اطلاعات اجرا می‌کرد. این اسکریپت طیف گسترده‌ای از داده‌های حساس را هدف قرار می‌داد که در جدول زیر دسته‌بندی شده‌اند:



| **دسته‌بندی هدف** | **نرم‌افزارهای مورد حمله** | **داده‌های سرقت‌شده** |
| --- | --- | --- |
| **مرورگرهای وب** | کروم، فایرفاکس، اِج، بریو | کوکی‌ها، رمزهای عبور، اطلاعات کارت‌های بانکی و فایل‌های کلیدی پایگاه‌داده |
| **کیف پول‌های رمزارز** | اکسودوس، الکتروم، لجر لایو، ترزور، سولانا | سرقت کلیدهای خصوصی و در نتیجه امکان دسترسی به دارایی‌های رمزارزی |
| **ابزارهای توسعه‌دهنده** | گیت‌هاب، دیسکورد، نشست‌های SSH | توکن‌های دسترسی سازمانی، اعتبارنامه‌های سورس‌کد |

---

  [ ![](https://nooshdaroo.ir/wp-content/uploads/2026/06/what-is-hidden-crypto-wallet.webp) ](https://nooshdaroo.ir/crypto-security/crypto-hidden-wallet-guide/) 

 

#####  [کیف پول مخفی چیست و چه زمانی برای نگهداری رمزارزها مفید است؟](https://nooshdaroo.ir/crypto-security/crypto-hidden-wallet-guide/) 

 

 

  

## چرا این حمله برای توسعه‌دهندگان ایرانی اهمیت دارد؟ 

این حمله می‌تواند برای برخی از توسعه‌دهندگان ایرانی نیز اهمیت ویژه‌ای داشته باشد. با توجه به شرایط اقتصادی کشور، بعضی از برنامه‌نویسان به پروژه‌های رمزارز، وب۳ و کار فریلنسری بین‌المللی روی آورده‌اند؛ حوزه‌هایی که در سال‌های اخیر بیش از سایر بخش‌ها هدف چنین حملاتی قرار گرفته‌اند. از سوی دیگر محدودیت‌های ناشی از تحریم نیز دسترسی تیم‌های داخلی به برخی ابزارهای امنیتی تجاری را دشوارتر کرده است.

عادت خطرناک کلیک سریع روی دکمه «Yes, I trust the authors» هنگام باز کردن پروژه‌های کلون‌شده یا تست‌های نصب نرم‌افزار در VS Code، بزرگ‌ترین نقطه ضعف امنیتی برنامه‌نویسان در این نوع حمله‌هاست. توسعه‌دهندگان برای مقابله با این تهدید، بهتر است پیش از اعتماد و اجرای پروژه‌های ناشناس، محتوای پوشه .vscode، به‌ویژه فایل tasks.json را بررسی کنند.

## در پایان…

این حمله نشان می‌دهد که زنجیره تأمین نرم‌افزار دیگر تنها به «وابستگی‌های پروژه» محدود نیست و فایل‌های پیکربندی محیط توسعه هم می‌توانند به نقطه شروع آلودگی تبدیل شوند. برای کاهش این خطر، توسعه‌دهندگان باید پیش از اعتماد به پروژه‌های ناشناس، فایل‌های پیکربندی را بررسی کنند و از تأیید شتاب‌زده Workspaceها بپرهیزند. همین اقدام ساده می‌تواند از اجرای خودکار کدهای مخرب و سرقت اطلاعات حساس جلوگیری کند.