تهديدات غير مرئية: كيف فتحت إضافات VS Code المفقودة بابًا خلفيًا في Open VSX

العنوان الفرعي: محررات الشيفرة المدعومة بالذكاء الاصطناعي عرّضت دون قصد آلاف المطورين لاحتمال الإصابة ببرمجيات خبيثة عبر توصيات إضافات غير مُطالَب بها.

عندما يثق المطورون بأدواتهم، نادرًا ما يشكّون في الفخاخ غير المرئية الكامنة تحت السطح. لكن تحقيقًا حديثًا كشف أن بعض أشهر النسخ المتفرعة المدعومة بالذكاء الاصطناعي من Microsoft Visual Studio Code (VS Code) كانت تعرّض المستخدمين بهدوء لخطر خفي لكنه خطير ضمن سلسلة التوريد - وذلك كله عبر ميزة تبدو بريئة بعنوان “الإضافات الموصى بها”.

حقائق سريعة

نسخ VS Code المتفرعة والمدعومة بالذكاء الاصطناعي مثل Cursor وWindsurf أوصت بإضافات غير موجودة في سجل Open VSX.
كان بإمكان المهاجمين تسجيل أسماء هذه الإضافات غير المُطالَب بها مع شيفرة خبيثة.
عثرت Koi Security على أكثر من 500 عملية تثبيت لإضافة PostgreSQL وهمية في Open VSX.
أدى الإفصاح المسؤول إلى قيام بيئات التطوير المتكاملة الكبرى وOpen VSX بتطبيق إجراءات حماية عاجلة.
قد تسرق الإضافات الخبيثة بيانات الاعتماد أو الأسرار أو الشيفرة المصدرية من مطورين غير منتبهين.

ظهرت المشكلة عندما لاحظ باحثو الأمن في Koi أن نسخ VS Code المتفرعة والمدعومة بالذكاء الاصطناعي - بما في ذلك Cursor وWindsurf وGoogle Antigravity وTrae - كانت توصي بإضافات لا وجود لها في سوق Open VSX مفتوح المصدر. تأتي هذه التوصيات في شكلين: معتمدة على الملفات (نوافذ منبثقة عند فتح ملفات معينة) ومعتمدة على البرمجيات (اقتراحات تُفعَّل بواسطة البرامج المثبتة). كلا النوعين موروث من قائمة الإضافات الرسمية لدى Microsoft، لكن كثيرًا من هذه الإضافات كان ببساطة مفقودًا من Open VSX.

ذلك الغياب خلق فرصة ذهبية للمهاجمين. ومع بقاء مساحات الأسماء غير مُطالَب بها، كان بإمكان أي شخص تسجيل أسماء هذه الإضافات ورفع شيفرته الخاصة، وربما الخبيثة. وقد برهن أورين يومتوف من Koi على الخطر بتسجيل إضافة وهمية لـ PostgreSQL - وهو أحد عدة أسماء أوصت بها بيئات التطوير - ثم راقب كيف قام أكثر من 500 مطور بتثبيتها، ثقةً باقتراح محرر الشيفرة لديهم.

العواقب المحتملة وخيمة: نقرة واحدة قد تثبّت إضافة تسحب بيانات الاعتماد أو الأسرار أو حتى قواعد الشيفرة كاملة. وتسلّط هذه الحالة الضوء على نقطة عمياء خطيرة في سلسلة التوريد مفتوحة المصدر: يفترض المطورون أن الإضافات الموصى بها جديرة بالثقة، لكن في الأسواق اللامركزية يمكن استغلال تلك الثقة بسهولة.

عقب الإفصاح المسؤول من Koi، سارعت Cursor وWindsurf وGoogle إلى سد الثغرة، كما قامت مؤسسة Eclipse (التي تدير Open VSX) بتنقية المساهمين غير الرسميين مع تعزيز الحماية على مستوى السجل. لكن هذه الحادثة إنذار صارخ. فمع تزايد استهداف جهات التهديد لأسواق الإضافات، قد تتحول الميزات المصممة لرفع الإنتاجية إلى نواقل هجوم.

بالنسبة للمطورين، الدرس واضح: لا تثق عمياء بتوصيات الإضافات، حتى لو جاءت من بيئة التطوير المتكاملة المفضلة لديك. تحقّق دائمًا من الناشر والمصدر قبل الضغط على “تثبيت”. في مشهد أمن سلسلة توريد البرمجيات المتغير باستمرار، تبقى اليقظة خط دفاعك الأول - وأحيانًا الوحيد.

WIKICROOK

تفرّع VS Code: تفرّع VS Code هو نسخة مخصصة من Visual Studio Code، غالبًا مع ميزات إضافية أو تغييرات في الخصوصية أو اختلافات في العلامة التجارية عن الأصل.
Open VSX: Open VSX هو سوق مفتوح المصدر لإضافات Visual Studio Code، تديره مؤسسة Eclipse لدعم التطوير القائم على المجتمع.
مساحة الأسماء: مساحة الأسماء هي تسمية أو عنوان فريد ينظم ويعرّف الأصول الرقمية مثل الشيفرة أو نماذج الذكاء الاصطناعي، مانعًا تعارض الأسماء.
مخاطر سلسلة التوريد: مخاطر سلسلة التوريد هي التهديد بأن ينتشر هجوم سيبراني على شركة واحدة إلى شركات أخرى مرتبطة عبر أنظمة أو مورّدين أو شركاء مشتركين.
الإفصاح المسؤول: الإفصاح المسؤول هو الإبلاغ عن الثغرات الأمنية بشكل خاص إلى المورّدين، بما يتيح لهم إصلاح المشكلات قبل نشر المعلومات علنًا.