ثغرة في سوق إضافات Visual Studio Code تسمح بإعادة استخدام أسماء الإضافات المحذوفة

كشف باحثو الأمن السيبراني عن ثغرة خطيرة في سوق إضافات Visual Studio Code تتيح للجهات المهاجمة إعادة استخدام أسماء إضافات سبق إزالتها من المستودع. هذا الخلل يفتح الباب أمام نشر إضافات خبيثة تتنكر بأسماء مألوفة لدى المطورين.

تفاصيل الثغرة

شركة ReversingLabs للأمن في سلاسل التوريد البرمجية اكتشفت إضافة خبيثة باسم ahbanC.shiba تعمل بنفس آلية إضافتين سابقتين (ahban.shiba وahban.cychelloworld) جرى الإبلاغ عنهما في مارس الماضي. هذه الإضافات تعمل كـ Downloader لتحميل حمولة PowerShell من خادم خارجي تقوم بتشفير الملفات داخل مجلد باسم testShiba على سطح مكتب الضحية، وتطلب دفع فدية بعملة Shiba Inu Token.

التحقيق أظهر أن الإضافة الجديدة استخدمت نفس اسم الإضافات السابقة تقريبًا مع اختلاف اسم الناشر فقط، وهو ما يتعارض مع توثيق Visual Studio Code الذي ينص على أن أسماء الإضافات يجب أن تكون فريدة. لكن الباحثة Lucija Valentić اكتشفت أن إعادة استخدام الاسم تصبح ممكنة إذا كانت الإضافة قد حُذفت من السوق، بينما لا يحدث الأمر نفسه عند “إلغاء النشر”.

تشابه مع PyPI

هذه المشكلة ليست مقتصرة على VS Code، إذ سبق أن أظهرت ReversingLabs عام 2023 أن حذف الحزم من مستودع PyPI يجعل أسماءها متاحة لأي مستخدم آخر. لكن PyPI وضع استثناءً يمنع إعادة استخدام أسماء الحزم الخبيثة. في المقابل، يبدو أن VS Code لا يطبق هذا القيد.

المخاطر المرتبطة

هذا الخلل يعكس اتجاهًا متناميًا بين مجرمي الإنترنت لاستهداف المستودعات مفتوحة المصدر لنشر برمجيات خبيثة أو برمجيات فدية. مثلًا، ظهرت ثمانية حزم npm خبيثة مؤخرًا، قادرة على سرقة بيانات حساسة من متصفح Google Chrome مثل كلمات المرور وبطاقات الائتمان ومحافظ العملات الرقمية، وإرسالها إلى خوادم خارجية عبر عناوين URL أو Webhooks في Discord.

هذه الحزم تضمنت:

• toolkdvv

• react-sxt

• react-typex

• react-typexs

• react-sdk-solana

• react-native-control

  اقرأ أيضًا...

  • أخطر 8 أشياء لا يجب توصيلها بمنفذ USB في التلفاز الذكي
  • الطاقة الشمسية الفضائية: هل تخفّض تكلفة الحياد الكربوني في أوروبا بحلول 2050؟
  • تغييرات Anthropic في سياسة الخصوصية: مشاركة بيانات المستخدمين لتدريب الذكاء الاصطناعي
  • TamperedChef: برمجية خبيثة جديدة تنتشر عبر إعلانات مزيفة لبرامج PDF
  • كيفية الاندماج بسرعة في بيئة العمل كمهندس جديد في شركات التقنية

• revshare-sdk-api

• revshare-sdk-apii

وكانت تحتوي على 70 طبقة من الأكواد المشفرة لإخفاء حمولة Python مخصصة لسرقة البيانات.

التداعيات الأمنية

هذه الهجمات تبرز خطورة الاعتماد غير المراقب على المستودعات العامة في تطوير البرمجيات. إذ أن المهاجمين يستغلون أساليب مثل Typosquatting والتنكر بأسماء شبيهة لإيهام المطورين بتحميل مكتبات أو إضافات تبدو شرعية.

يؤكد الباحثون أن الحل يكمن في:

• اعتماد ممارسات تطوير آمنة.

• المراقبة الاستباقية لمستودعات الإضافات والحزم.

• استخدام أدوات فحص تلقائية للكشف عن الأكواد الخبيثة.

تكشف هذه الثغرة أن أي اسم لإضافة محذوفة في سوق VS Code يمكن أن يُعاد استخدامه من قبل أي ناشر، بما في ذلك المهاجمين. وإذا كان الاسم مرتبطًا بإضافة شائعة أو موثوقة، فإن الخطر يتضاعف. لذلك، يبقى من الضروري أن يتبنى المطورون والشركات استراتيجيات صارمة لحماية سلاسل التوريد البرمجية.