Netcrook Logo
👤 LOGICFALCON
🗓️ 05 Jan 2026  

توصيات مخطوفة: كيف تفتح بيئات VSCode المتفرعة الباب لهجمات الإضافات

العنوان الفرعي: اقتراحات الإضافات المضمّنة برمجياً في محررات الشيفرة المدعومة بالذكاء الاصطناعي تخلق ثغرة خطيرة في سلسلة التوريد للمطورين غير المتنبهين.

تخيّل هذا: أنت تكتب الشيفرة في بيئة التطوير المتقدمة المفضلة لديك والمدعومة بالذكاء الاصطناعي، وتتبع تنبيهاً مفيداً لتثبيت إضافة موصى بها. لكن خلف تلك التوصية البريئة قد يختبئ فاعل تهديد، مستعد لاختطاف بيئة التطوير لديك بنقرة واحدة. مرحباً بك في العالم المعتم لهجمات نطاقات أسماء الإضافات - ثغرة أمنية زُرعت بهدوء في الأدوات ذاتها التي يثق بها المطورون أكثر من غيرها.

حقائق سريعة

  • بيئات التطوير المدعومة بالذكاء الاصطناعي والمتفرعة من VSCode (مثل Cursor وWindsurf) تدمج توصيات الإضافات من سوق Microsoft Marketplace بشكل ثابت.
  • وبسبب الترخيص، تستخدم هذه التفرعات سجل OpenVSX، حيث كانت العديد من نطاقات أسماء الإضافات الموصى بها غير مُسجّلة.
  • يمكن للمهاجمين تسجيل هذه النطاقات ورفع شيفرة خبيثة، مستغلين ثقة المستخدم في الاقتراحات المدمجة.
  • استبق باحثو Koi Security الأمر فاستحوذوا على النطاقات عالية المخاطر ورفعوا بدائل غير ضارة.
  • استجابت Google بسرعة بإزالة التوصيات الضعيفة، لكن بعض مزوّدي بيئات التطوير ما زالوا صامتين.

تشريح فخ سلسلة التوريد

حظيت محررات الشيفرة الشائعة المعتمدة على الذكاء الاصطناعي مثل Cursor وWindsurf وGoogle Antigravity وTrae بإشادة كبيرة لما تقدمه من زيادة في الإنتاجية. لكن جذورها في VSCode من Microsoft تأتي معها أعباء خفية. فعندما تم تفريع هذه البيئات، ورثت توصيات إضافات مضمّنة برمجياً - قوائم تُفعَّل عندما يفتح المطورون ملفات مشروع معينة أو عند اكتشاف برمجيات محددة مثل PostgreSQL.

وهنا تكمن المشكلة: بسبب قيود الترخيص الصارمة، لا تستطيع هذه التفرعات الوصول إلى سوق Visual Studio Marketplace الرسمي من Microsoft. وبدلاً من ذلك، تعتمد على OpenVSX، وهو بديل مفتوح المصدر. المشكلة؟ ليست كل الإضافات الموصى بها موجودة في OpenVSX - وكانت نطاقات أسمائها متاحة لمن يشاء.

وهذا يخلق فرصة ذهبية للمهاجمين: الاستحواذ على نطاق اسم غير مسجّل، ورفع إضافة خبيثة، ثم انتظار المستخدمين غير المنتبهين لتثبيتها، اعتماداً على توصية مدمجة في بيئة التطوير. إنها هجمة كلاسيكية على سلسلة التوريد، لكنها تسلّح راحة المطور.

اكتشف باحثون في Koi Security هذه القنبلة الموقوتة. وبعد الإبلاغ عن المشكلة للمزوّدين المتأثرين في أواخر نوفمبر 2025، سارعت Google إلى إزالة 13 توصية عالية المخاطر من بيئتها. أما Cursor وWindsurf فلم يتحركا بعد. وفي غضون ذلك، سجّلت Koi استباقياً عدة نطاقات أسماء معرّضة للخطر - بما في ذلك الخاصة بـ Azure Pipelines وPostgreSQL - ورفعت إضافات بديلة حميدة لمنع الاستغلال.

كما نسّقوا مع مؤسسة Eclipse، التي تدير OpenVSX، لإزالة المساهمين غير الرسميين وتشديد ضوابط السجل. وحتى الآن، لا توجد أدلة تشير إلى أن مهاجمين استغلوا هذه الثغرة - لكن احتمال إساءة استخدامها مستقبلاً حقيقي إذا لم ينظّف المزوّدون إعداداتهم الموروثة.

حراسة البوابة: ما الذي ينبغي على المطورين فعله

في الوقت الراهن، ينبغي لمستخدمي هذه البيئات المتفرعة أن يتعاملوا بحذر مع اقتراحات الإضافات الآلية. تحقّق دائماً من التوصيات عبر فحص سجل OpenVSX يدوياً بحثاً عن ناشرين موثوقين. ومع تطور مشهد بيئات التطوير، تبقى اليقظة هي خط الدفاع الوحيد المؤكد ضد مفاجآت سلسلة التوريد المختبئة على مرأى من الجميع.

WIKICROOK

  • IDE: بيئة التطوير المتكاملة (IDE) هي برنامج يجمع أدوات كتابة الشيفرة واختبارها وتصحيحها ضمن واجهة واحدة.
  • Fork: يحدث التفريع عندما ينفصل المطورون عن مشروع رئيسي لإنشاء نسخة جديدة مستقلة، غالباً بسبب خلافات أو أهداف مختلفة.
  • Namespace: نطاق الاسم هو تسمية أو عنوان فريد ينظم ويعرّف الأصول الرقمية مثل الشيفرة أو نماذج الذكاء الاصطناعي، مانعاً تعارض الأسماء.
  • Supply: تستهدف هجمة سلسلة التوريد مزوّدين أو خدمات من طرف ثالث لاختراق عدة مؤسسات عبر استغلال علاقات خارجية موثوقة.
  • OpenVSX: OpenVSX هو سوق مفتوح المصدر يمكن للمستخدمين من خلاله العثور على الإضافات ومشاركتها وتثبيتها لتعزيز محررات الشيفرة لديهم، على غرار متجر التطبيقات.
Extension attacks AI-powered IDEs Supply-chain security
LOGICFALCON LOGICFALCON
Log Intelligence Investigator
← Back to news