برمجيات خبيثة على مرأى من الجميع: تنبيهات VS Code المزيّفة تغمر GitHub وتستهدف المطوّرين

بدأ الأمر برسالة بريد إلكتروني عاجلة: «ثغرة خطيرة – يلزم تحديث فوري». بالنسبة لآلاف المطوّرين، بدا هذا التنبيه رسميًا، بنبرة مألوفة وحتى مع الإشارة إلى ما بدا أنه معرّفات ثغرات حقيقية. لكن تحت السطح كانت عملية احتيال متقنة تتكشف - عملية لا تتغذى على الشيفرة فحسب، بل على الثقة ذاتها.

الهجوم، الذي كشفته شركة Socket المتخصصة في أمن التطبيقات، لافتٌ من حيث الحجم والدقة معًا. فبدلًا من الرسائل المزعجة الفجّة أو التصيّد الواضح، تظهر هذه المنشورات في قسم «المناقشات» ضمن آلاف مشاريع GitHub. ويقلّد المهاجمون - غالبًا عبر حسابات منشأة حديثًا أو خاملة - أصوات قيّمين حقيقيين أو باحثين معروفين، ما يضفي على رسائلهم هالة من المصداقية يثق بها كثير من المطوّرين دون تردد.

الخدعة بسيطة لكنها فعّالة: تحذّر المنشورات من ثغرة خطيرة في إضافة شائعة لبرنامج Visual Studio Code (VS Code) وتحثّ المطوّرين على تنزيل نسخة «مُرقّعة». أين الفخ؟ رابط التنزيل لا يشير إلى مستودع رسمي، بل إلى خدمة خارجية مثل Google Drive - خيار غير معتاد، لكنه يستفيد من ثقة المستخدمين ببنية Google التحتية. وفي سباق سدّ ثغرة أمنية مفترضة، يغفل كثيرون عن هذه الإشارة التحذيرية الحاسمة.

النقر على الرابط هو حيث يبدأ الخطر الحقيقي. يُمرَّر الضحايا عبر سلسلة من عمليات إعادة التوجيه، لينتهوا في موقع يشغّل بصمت حمولة استطلاع JavaScript. يجمع هذا النص معلومات تفصيلية عن بيئة المستخدم - المنطقة الزمنية، ونظام التشغيل، والمتصفح، وغير ذلك - ثم يرسلها إلى مركز قيادة المهاجمين. وفقط بعد خطوة «التنميط» هذه، يتلقى الأهداف الأكثر وعدًا المرحلة التالية من الهجوم، التي لا تزال تفاصيلها غامضة لكنها على الأرجح تتضمن برمجيات خبيثة أو سرقة بيانات اعتماد.

ليست هذه المرة الأولى التي يُسَلَّح فيها نظام إشعارات GitHub. فقد استخدمت حملات سابقة تكتيكات مشابهة، فأرسلت رسائل جماعية عبر التعليقات أو طلبات السحب لتوجيه المستخدمين إلى تطبيقات OAuth خبيثة أو صفحات تصيّد. والخيط المشترك: يستغل المهاجمون الأنظمة ذاتها المصممة لإبقاء المطوّرين على اطلاع وأمان.

يدعو الخبراء إلى الحذر. ينبغي على المطوّرين دائمًا التحقق من التنبيهات الأمنية عبر مصادر موثوقة مثل قاعدة بيانات الثغرات الوطنية (NVD) أو قوائم CVE لدى MITRE، والارتياب من أي إرشاد يطلب منهم تنزيل ترقيعات من مواقع غير رسمية. فالمخاطر كبيرة؛ وفي عالم تُعد فيه الشيفرة عملة، لم يكن الخط الفاصل بين إشعار موثوق وخداع خبيث أرقّ من أي وقت مضى.

ومع تطور ساحة المعركة الرقمية، تتطور كذلك تكتيكات من يسعون لاختراقها. بالنسبة للمطوّرين، لم تعد اليقظة خيارًا - بل ضرورة. قد لا يكون التنبيه العاجل التالي في صندوق بريدك تحذيرًا. قد يكون الهجوم نفسه.

WIKICROOK

• مناقشات GitHub: تُعد GitHub Discussions منتدى داخل المستودعات يتيح للمستخدمين طرح الأسئلة ومشاركة الملاحظات ومناقشة الموضوعات، بما يعزز التعاون ودعم المجتمع.
• CVE (الثغرات والتعرّضات الشائعة): CVE هو معرّف عام فريد لثغرة أمنية محددة، يتيح تتبعها ومناقشتها بشكل متسق عبر صناعة الأمن السيبراني.
• نص استطلاع: يقوم نص الاستطلاع بأتمتة جمع المعلومات عن الأنظمة أو المستخدمين، وغالبًا ما يستخدمه المهاجمون أو مختبرو الأمن في المراحل المبكرة من العمليات السيبرانية.
• نظام توزيع الحركة (TDS): يقوم نظام توزيع الحركة (TDS) بإعادة توجيه مستخدمي الويب إلى مواقع مختلفة، وغالبًا ما يستخدمه مجرمو الإنترنت لإرسال الضحايا إلى محتوى خبيث أو احتيالي.
• أمر: الأمر هو تعليمة تُرسل إلى جهاز أو برنامج، غالبًا بواسطة خادم C2، لتوجيهه لتنفيذ إجراءات محددة، أحيانًا لأغراض خبيثة.