Netcrook Logo
👤 SECPULSE
🗓️ 28 Mar 2026  

مفتوح على مصراعيه: كيف كادت ثغرة منطقية بسيطة أن تحوّل Open VSX إلى جنة للبرمجيات الخبيثة

خلل حرج في سوق إضافات Open VSX ترك الباب مفتوحًا على مصراعيه أمام الشيفرة الخبيثة - إلى أن أجبر إفصاحٌ دقيق وسريع على إصلاح عاجل.

في يومٍ من أيام فبراير يبدو عاديًا، فوجئ حراس بوابة سوق إضافات Open VSX بخللٍ خفي لكنه مدمّر. لم يكن اختراقًا متطورًا ولا تسريبًا عالي الضجيج، بل سطرًا واحدًا ملتبسًا من الشيفرة - سطر كان يمكن أن يتيح للمهاجمين إطلاق موجات من البرمجيات الخبيثة على مطورين لا يتوقعون شيئًا. وسرعان ما أُطلق على الحادث اسم “Open Sesame”، ليصبح قصة تحذيرية عن كيف يمكن لأصغر الشقوق في منطق الأمان أن تهدد سلسلة توريد البرمجيات بأكملها.

تشريح اختراق صامت

أطلق Open VSX، وهو سجل إضافات بديل شائع لتفرعات VS Code مثل Cursor وWindsurf، خط أنابيب فحص جديدًا قبل النشر لتعزيز الأمان. كانت الفكرة بسيطة: لا تُنشر أي إضافة ما لم تجتز فحوصات صارمة متعددة المراحل - كشف البرمجيات الخبيثة، فحص الأسرار، وتحليل الملفات الثنائية.

لكن خلف هذه القلعة كانت هناك نقطة فشل واحدة. ففي قلب النظام، كانت طريقة في الواجهة الخلفية تُرجع قيمة منطقية - “false” - للدلالة على حالتين مختلفتين تمامًا: إما عدم تهيئة أي ماسحات (حالة نادرة لكنها صحيحة)، أو فشل جميع مهام الماسحات في التنفيذ (خطأ حرج). وبما أن النظام لم يستطع التمييز بينهما، فقد تعامل مع كلتيهما على أنهما غير ضارتين.

وعندما أغرق المهاجمون واجهة برمجة تطبيقات النشر بعمليات رفع متتالية، تمكنوا من استنزاف موارد الواجهة الخلفية، ما أدى إلى فشل مهام الفحص بصمت. ثم فسّر النظام هذا الفشل على أنه “لا شيء لفحصه”، ليمنح الإضافات الضوء الأخضر فورًا. لم يكن هناك تحديد لمعدل الطلبات، وكانت واجهة المستخدم تعرض بكل اطمئنان شارة “PASSED” - حتى لشيفرة غير مفحوصة وقد تكون خبيثة.

إلى أي مدى اقتربنا من الكارثة؟

كانت التداعيات مرعبة. فبإمكان أي مستخدم، لا يملك سوى حساب ناشر مجاني، استغلال هذا الخلل المنطقي لتوزيع برمجيات خبيثة أو أبواب خلفية. الإضافات التي كان ينبغي عزلها نُشرت بدلًا من ذلك على أنها مُتحقق منها بالكامل. وأكد الباحثون أن الهجوم يمكن تفعيله بشكل موثوق تحت الضغط، ما خلق خطرًا كبيرًا على سلسلة التوريد للمطورين والمؤسسات على حد سواء.

ويُحسب لفريق Open VSX أنه استجاب بكفاءة نموذجية. فقد تم ترقيع الثغرة خلال 72 ساعة من الإفصاح عنها. واستُبدل المنطق الملتبس بمعالجة أخطاء صريحة - وأصبح أي فشل في الماسحات يمنع النشر، كما كان ينبغي منذ البداية.

درس في التصميم الآمن

هذا الحادث تذكير صارخ: في الأمن، منطق “الفشل مع السماح” (fail-open) هو دعوة مفتوحة للكارثة. عندما تصبح حالات الخطأ غير قابلة للتمييز عن الحالات الشرعية، يصبح النظام بأكمله في خطر. بالنسبة للمطورين وبناة المنصات، الرسالة واضحة - لا تسمحوا للالتباس بالتسلل إلى دفاعاتكم. في عالم الأمن السيبراني، كل قيمة منطقية لها وزنها.

WIKICROOK

  • الفشل: يصف الفشل الحالة التي لا يعمل فيها نظام أو ضابط للأمن السيبراني كما هو مقصود، ما قد يكشف ثغرات أو يتيح وصولًا غير مصرح به.
  • المنطق البولياني: يستخدم المنطق البولياني قيم true/false والعوامل المنطقية للتحكم في قرارات البرامج، وهو حيوي لقواعد الأمن السيبراني والتصفية والاستجابات الأمنية المؤتمتة.
  • سوق الإضافات: سوق الإضافات هو متجر عبر الإنترنت يمكن للمستخدمين من خلاله العثور على إضافات وتثبيتها لتوسيع ميزات تطبيقاتهم البرمجية.
  • مخاطر سلسلة التوريد: مخاطر سلسلة التوريد هي التهديد المتمثل في أن هجومًا سيبرانيًا على شركة واحدة يمكن أن ينتشر إلى شركات أخرى مرتبطة عبر أنظمة مشتركة أو موردين أو شركاء.
  • تحديد معدل الطلبات: تحديد معدل الطلبات هو إجراء أمني يقيّد عدد مرات وصول المستخدمين أو الأنظمة إلى خدمة ما، ما يساعد على منع إساءة الاستخدام والهجمات.
Open VSX Malware risk Security flaw
SECPULSE SECPULSE
SOC Detection Lead
← Back to news