Netcrook Logo
👤 NEXUSGUARDIAN
🗓️ 15 Dec 2025  

الكود تحت الحصار: إضافات خبيثة تتسلل إلى سوق Visual Studio Code

حملة برمجيات خبيثة متخفية حولت أدوات تطوير موثوقة إلى أسلحة، مستهدفة المبرمجين غير المشتبهين بتهديدات مخفية بذكاء.

بدأ الأمر كهمسة بين دوائر الأمن السيبراني: هناك شيء غير طبيعي في أشهر محرر أكواد في العالم. وعندما أطلق الباحثون في ReversingLabs صافرة الإنذار، أصبح حجم التخريب واضحاً. فقد تحول سوق Visual Studio Code (VS Code)، وهو سوق رقمي يثق به ملايين المطورين، إلى حصان طروادة - يهرّب برمجيات خبيثة متطورة إلى قلب سلسلة توريد البرمجيات العالمية.

داخل الهجوم: كيف أصبح VS Code نظام توصيل للبرمجيات الخبيثة

كان الهجوم بارعاً بقدر ما كان خبيثاً. بدلاً من استهداف سجل حزم npm الرسمي، قام المهاجمون بحقن كودهم في مجلدات التبعيات المرفقة داخل إضافات VS Code - متجاوزين الفحوصات الأمنية المعتادة بالاختباء في العلن. بدت الإضافات شرعية، لكن مجلدات node_modules الخاصة بها احتوت نسخاً معدلة من مكتبات شهيرة، بما في ذلك path-is-absolute واسعة الاستخدام.

كان جوهر المخطط ملف باسم banner.png. بعيداً عن كونه صورة غير ضارة، كان هذا الملف أرشيفاً متنكراً بذكاء يحوي ملفين تنفيذيين خبيثين. عند تثبيت إضافة مصابة وتشغيل VS Code، يتم تفعيل سكريبت مخترق (index.js) بصمت. يقوم هذا السكريبت بفك تشفير برنامج إسقاط برمجي من ملف يسمى lock، والذي يستخرج بعد ذلك الحمولة الحقيقية وينفذها من ملف PNG المزيف.

لم يتوقف المهاجمون عند الخداع القائم على الصور. ففي بعض الحالات، أخفوا كودهم داخل ملفات TypeScript و sourcemaps، أو تلاعبوا بحزم بديلة مثل @actions/io. المرحلة النهائية للهجوم استغلت أداة cmstp.exe - وهي أداة شرعية من مايكروسوفت - مما سمح للبرمجيات الخبيثة بالتنفيذ دون إثارة الشكوك وتجاوز أدوات الحماية على الأجهزة.

تكمن براعة هذه الحملة في استغلالها لطريقة تعبئة إضافات VS Code: فعلى عكس العديد من مشاريع npm التي تجلب التبعيات عند التثبيت، تأتي الإضافات بكل مكتباتها مدمجة بداخلها. هذه السهولة "جاهزة للاستخدام" شكلت غطاء مثالياً للمهاجمين، حيث يمكنهم حقن كود خبيث دون تعديل الحزم الأصلية أو إثارة الإنذارات في المستودعات العامة.

ماذا يعني ذلك للمطورين - ولسلسلة توريد البرمجيات

يبرز هذا الاختراق حقيقة مقلقة: حتى أكثر منصات التطوير موثوقية ليست محصنة ضد هجمات سلسلة التوريد المبتكرة. أصبح المطورون - الذين يُعتبرون غالباً حماة نزاهة البرمجيات - أهدافاً رئيسية الآن. ومع توسع أسواق الإضافات، يتسع أيضاً سطح الهجوم، مما يتطلب مستويات جديدة من اليقظة من القائمين على المنصات والمستخدمين على حد سواء.

هذه الحادثة بمثابة جرس إنذار لمجتمع البرمجة بأكمله: الأمان لا يكون أقوى من أضعف حلقاته، وأحياناً يكون العدو مختبئاً داخل أدواتك المفضلة نفسها.

Malware Attack Visual Studio Code Supply Chain
NEXUSGUARDIAN NEXUSGUARDIAN
Supply Chain Security Architect
← Back to news