يتزايد استهداف أدوات المطورين التي يستخدمها ملايين المبرمجين حول العالم، مما يفتح ثغرات خطيرة تهدد أمن المؤسسات بأكملها. يمثل استغلال الثغرات في منصات مثل Visual Studio Code و Cursor AI، وخاصة من خلال أسواق الإضافات الخاصة بها، تحديًا جديدًا في مجال أمن سلاسل التوريد البرمجية.
تكمن خطورة الوضع في أن المبرمجين، على عكس المستخدمين العاديين، يمتلكون وصولاً إلى بيانات حساسة مثل الاعتمادات، ومستودعات الشيفرة المصدرية، وأنظمة الإنتاج، مما يجعلهم أهدافًا ثمينة للقراصنة المتقدمين.
ثغرات خطيرة في أسواق الإضافات للمطورين
أظهرت تقارير حديثة كيف أصبح من السهل بشكل مقلق نشر إضافات خبيثة في أسواق البرمجيات المخصصة للمطورين. يستغل المهاجمون الثقة التي يوليها المطورون لبيئات التطوير اليومية لتجاوز طبقات الحماية المصممة للحفاظ على أمان هذه المنصات.
من خلال إخفاء الأكواد الضارة تحت ستار أدوات مشروعة، يتمكن المهاجمون من الوصول المستمر إلى أجهزة المطورين دون إثارة الإنذارات الأمنية المعتادة. يأتي هذا التهديد الجديد ليضيف طبقة أخرى من التعقيد إلى المشهد الأمني المتطور.
تفاصيل الهجوم وكيفية عمله
وثق مهندس أمن سيبراني، مازن أحمد، بنجاح قيام المهاجمين بنشر أبواب خلفية من خلال هذه الأسواق. أشار أحمد إلى أن الخطوات اللازمة لتضمين برمجيات خبيثة في الإضافات وتسريبها إلى قائمة البرامج المتاحة للمطورين قد تكون أقل تعقيدًا مما هو متوقع.
وقد أثبتت أبحاث أحمد أن إضافة Python linter خبيثة، المسماة “Piithon-linter” (مع تغيير طفيف في التهجئة لتجنب الكشف الفوري)، نجحت في تجاوز الفحص الأمني من مايكروسوفت وأصبحت متاحة في سوق Visual Studio Code. هذا يكشف عن ثغرات جوهرية في عمليات الفحص.
استخراج متغيرات البيئة والوصول عن بعد
سمح هذا الضعف للمهاجمين باستخراج متغيرات البيئة التي قد تحتوي على بيانات اعتماد حساسة، ونشر أدوات وصول عن بعد بمجرد تثبيت الإضافة. الجزء الأكثر إثارة للقلق في هذا الهجوم هو كيفية الحفاظ على البرمجية الخبيثة لوجودها وتجنب أنظمة الكشف.
عند تشغيل Visual Studio Code، يتم تنفيذ الإضافة الخبيثة تلقائيًا دون الحاجة إلى تدخل المستخدم، وذلك بفضل “أحداث التنشيط” المحددة في تكوين الإضافة. يبدأ الكود الخبيث بمسح البرامج التي تعمل على مكافحة الفيروسات أو حلول الكشف الطرفي.
في حال اكتشاف برامج أمنية، يتوقف ضار البرمجية عن التنفيذ. ولكن، إذا بدا النظام آمناً، فإن الإضافة تواصل جمع متغيرات البيئة ونشر عميل “Merlin” للقيادة والسيطرة، مما يمنح المهاجمين وصولاً كاملاً عن بعد. يمكن للإضافة أيضاً تحديد نظام التشغيل وقت التشغيل، مما يسمح لها بتنفيذ الحمولة المناسبة لأنظمة Windows و macOS و Linux.
تجاوز آليات الحماية
تمكنت الإضافات الخبيثة من تجاوز “بيئة اختبار مايكروسوفت المعزولة” (Sandbox)، والتي يفترض أنها تختبر الإضافات في بيئة محكومة. حدث ذلك من خلال تقنيات “تحديد الموقع الجغرافي” التي كشفت متى يتم تشغيل الكود في البنية التحتية للاختبار الخاصة بمايكروسوفت التي تقع في الولايات المتحدة.
أما بالنسبة لـ OpenVSX، وهو السوق الذي يدعم Cursor AI ومعرفات بيئات التطوير المتكاملة الأخرى المدعومة بالذكاء الاصطناعي، فإنه لا يقوم بأي تحقق أمني تقريباً، ويعتمد فقط على تقارير المستخدمين وشروط الاتفاق. هذه الاكتشافات تسلط الضوء على واقع مزعج: قد ينبع الضعف التالي في سلاسل التوريد البرمجية من المحررات والمطورين الذين يثقون بهم ويستخدمونهم يومياً.
بدون ضوابط أمنية محسنة وآليات تحقق قوية، تبقى هذه الأدوات الحيوية للمطورين عرضة للخطر بشكل خطير لهجمات منسقة.