اكتشف باحثون أمنيون ثغرة برمجية خطيرة في Microsoft Visual Studio Code (VS Code)، تسمح بسرقة رموز GitHub المميزة بنقرة واحدة.
تمكن المهاجمون من استغلال هذه الثغرة للوصول إلى مستودعات GitHub، وقراءة البيانات وكتابتها، بما في ذلك المستودعات الخاصة، مما يثير قلقاً كبيراً حول أمان المشاريع البرمجية.
تسمح ميزة GitHub.dev، وهي محرر مصادر خفيف يعمل في المتصفح، للمطورين بإجراء التعديلات اللازمة على شفرة المصدر مباشرة عبر الويب، مما يعزز إنتاجيتهم.
استغلال ثغرة Visual Studio Code لسرقة رموز GitHub
تعتمد الثغرة على آلية تمرير المعلومات بين نافذة VS Code الرئيسية وعناصر الـ “Webviews” المستخدمة لعرض معاينات Markdown أو تحرير دفاتر Jupyter.
من خلال هذا الاستغلال، يمكن للمهاجمين إدخال تعليمات برمجية خبيثة في Webview، والتي بدورها تحاكي ضغطات المفاتيح في النافذة الرئيسية.
يؤدي ذلك إلى فتح لوحة الأوامر (Command Palette) وتثبيت ملحق (extension) يتحكم بها المهاجم، والذي يقوم بسرقة رمز OAuth الخاص بـ GitHub.
يُشار إلى أن الرمز المسروق لا يقتصر على مستودع معين، بل يمنح وصولاً كاملاً إلى كافة المستودعات التي يمتلك المستخدم صلاحية الوصول إليها.
من جهة أخرى، تستفيد هذه الطريقة أيضاً من ميزة “ملحقات مساحة العمل المحلية” (local workspace extensions) في VS Code، والتي تسمح بتثبيت ملحق مباشرة دون الحاجة إلى موافقة إضافية، وذلك عند وضعه في مجلد “.vscode/extensions” ضمن مساحة العمل.
التأثير على المطورين وأمان المستودعات
وفقاً للباحثين، تم إبلاغ GitHub بالثغرة في 2 يونيو 2026، وتم الكشف عن التفاصيل بعد وقت قصير، نظراً لطريقة تعامل Microsoft السابقة مع الأخطاء المتعلقة بـ VS Code. تعترف Microsoft حالياً بوجود الثغرة وتعمل على إصلاحها.
أوضح باحثو الأمن السيبراني أن هذه الثغرة لا تؤثر حالياً على إصدار سطح المكتب من VS Code (VS Code Desktop).
في الوقت نفسه، تتجلى خطورة هذا النوع من الثغرات في قدرتها على الوصول إلى بيانات حساسة، بما في ذلك شيفرة المصدر للمشاريع، مما قد يؤدي إلى سرقة الملكية الفكرية أو إلحاق ضرر كبير بالمؤسسات.