اكتشف باحثون أمنيون وجود امتدادين خبيثين لـ Microsoft Visual Studio Code (VS Code)، تم الترويج لهما كمساعدات برمجية مدعومة بالذكاء الاصطناعي، ولكنهما يحتويان على وظائف سرية لسرقة بيانات المطورين وإرسالها إلى خوادم في الصين. وتمتلك الامتدادات مجتمعة 1.5 مليون تثبيت وهي متاحة حاليًا للتنزيل.
هذه الامتدادات، التي تحمل أسماء “ChatGPT – 中文版” و “ChatGPT – ChatMoss(CodeMoss)”، تعمل كما هو معلن عنها، حيث تقدم اقتراحات برمجية وتوضح أخطاء الكود. ومع ذلك، فهي تحتوي على تعليمات برمجية خبيثة تقوم بجمع محتويات الملفات المفتوحة وتعديلات الكود، وترسلها إلى خوادم في الصين دون علم أو موافقة المستخدمين.
التهديد المزدوج: مساعدات برمجية مخادعة
وفقًا لتقرير صادر عن باحثي أمنيين، فإن الامتدادات الخبيثة تستغل شعبية أدوات البرمجة المدعومة بالذكاء الاصطناعي لكسب ثقة المطورين. هذه الأدوات، التي قد تبدو مفيدة في البداية، تخفي وراءها هدفًا للتجسس وسرقة المعلومات الحساسة.
قال الباحث الأمني توفال أدموني: “كلاهما يحتوي على نفس التعليمات البرمجية الخبيثة – نفس بنية برامج التجسس تعمل تحت أسماء ناشرين مختلفة”. هذا التكتيك يجعل من الصعب على المستخدمين اكتشاف النشاط الضار، حيث تعمل الامتدادات بكفاءة كما هو متوقع.
آلية عمل الامتدادات الخبيثة
تقوم الامتدادات بقراءة محتويات كل ملف يتم فتحه، وتشفيره بتنسيق Base64، وإرساله إلى خادم في الصين. يتم تشغيل هذه العملية مع كل تعديل يتم إجراؤه على الكود. بالإضافة إلى ذلك، تحتوي الامتدادات على ميزة مراقبة في الوقت الفعلي يمكن تشغيلها عن بُعد، مما يسمح بسحب ما يصل إلى 50 ملفًا من مساحة العمل.
من جهة أخرى، تتضمن واجهة الويب الخاصة بالامتدادات إطارًا مخفيًا صغيرًا جدًا يقوم بتحميل أربع مجموعات تطوير برمجيات (SDKs) إعلانية للتحليلات، وذلك لإنشاء ملفات تعريف شاملة للمستخدمين. هذه الأدوات شائعة في جمع المعلومات وتستخدم لإنشاء بصمات للأجهزة.
ثغرات PackageGate وتقلق سلسلة التوريد البرمجية
تأتي هذه الاكتشافات في وقت أعلنت فيه شركة أمن سلسلة التوريد عن تحديد ست ثغرات أمنية من نوع “صفر يوم” في مديري الحزم الخاصين بلغة JavaScript مثل npm و pnpm و vlt و Bun. هذه الثغرات، المسماة مجتمعة PackageGate، يمكن استغلالها لتجاوز الضوابط الأمنية التي تهدف إلى منع التنفيذ التلقائي لسكريبتات دورة الحياة أثناء تثبيت الحزم.
أصبحت الدفاعات مثل تعطيل سكريبتات دورة الحياة والالتزام بملفات القفل (lockfiles) آليات أساسية لمواجهة هجمات سلسلة التوريد. ومع ذلك، وجدت Koi Security أنه من الممكن تجاوز فحوصات تنفيذ السكريبتات وسلامة ملفات القفل في مديري الحزم الأربعة المذكورين.
استجابات متفاوتة من شركات التكنولوجيا
بعد الكشف المسؤول، تم معالجة المشكلات في pnpm و vlt و Bun. أما npm، فقد اختارت عدم إصلاح الثغرة، مشيرة إلى أن “المستخدمين مسؤولون عن فحص محتويات الحزم التي يختارون تثبيتها”.
في المقابل، أفادت GitHub، الشركة المالكة لـ npm، بأنها تعمل بنشاط لمعالجة هذه القضية الجديدة، حيث تقوم npm بمسح السجل باستمرار بحثًا عن البرامج الضارة. حثت الشركة المشاريع على تبني النشر الموثوق به ورموز الوصول التفصيلية مع المصادقة الثنائية (2FA) لضمان أمن سلسلة التوريد البرمجية.
في الختام، يظل النصيحة القياسية بتعطيل السكريبتات والالتزام بملفات القفل أمرًا مهمًا، ولكنه ليس الحل الكامل. وحتى يتم معالجة PackageGate بالكامل، تحتاج المؤسسات إلى اتخاذ قرارات مستنيرة بشأن إدارة المخاطر.