اكتشف باحثو الأمن السيبراني ثغرة في سوق Visual Studio Code تسمح للفاعلين المهددين إعادة استخدام أسماء الإضافات التي تم حذفها سابقًا.
وقالت شركة ReversingLabs المتخصصة في أمان سلاسل التوريد البرمجية إنها كشفت عن هذه الثغرة بعد تحديدها لإضافة خبيثة تُسمى “ahbanC.shiba”، تعمل بطريقة مشابهة لإضافتين أخريين هما “ahban.shiba” و”ahban.cychelloworld” تم التعرف عليهما في مارس الماضي.
كيف تعمل الإضافات الخبيثة
تم تصميم هذه المكتبات لتعمل كـ منزّل (Downloader) لاسترجاع حمولة PowerShell من خادم خارجي، تقوم بتشفير الملفات ضمن مجلد يُسمى “testShiba” على سطح مكتب ضحية Windows، والمطالبة برمز Shiba Inu عن طريق إيداع الأصول في محفظة غير محددة. وتشير هذه الجهود إلى محاولات تطوير مستمرة من قبل المهاجم.
وذكرت الشركة أنها قررت البحث بعمق نظرًا لأن اسم الإضافة الجديدة “ahbanC.shiba” مطابق تقريبًا لأحد الإضافتين السابقتين “ahban.shiba”، رغم أن كل إضافة يجب أن تمتلك معرفًا فريدًا يجمع بين اسم الناشر واسم الإضافة.
استغلال الثغرة
وفقًا لتوثيق Visual Studio Code، يجب أن يكون حقل الاسم في ملف تعريف الإضافة كلّه بالأحرف الصغيرة وبدون فراغات، ويجب أن يكون فريدًا في السوق.
وتوضح الباحثة الأمنية Lucija Valentić أن إعادة استخدام أسماء الإضافات المحذوفة ممكنة بعد إزالة الإضافة من المستودع، بينما لا ينطبق هذا على حالات سحب الإضافة من قبل المؤلف.
تُشير الملاحظات إلى أن هذه القدرة على إعادة استخدام أسماء المكتبات المحذوفة تنطبق أيضًا على مستودع Python Package Index (PyPI)، حيث تُتاح أسماء المشاريع لأي مستخدم آخر إذا كانت أسماء ملفات التوزيع مختلفة.
استهداف البرمجيات مفتوحة المصدر
كما كشفت سجلات محادثات مجموعة Black Basta المسربة، أن المهاجمين يسعون لتسميم المستودعات مفتوحة المصدر بمكتبات فدية تستهدف ضحايا غير منتبهين قد يقومون بتثبيتها، ما يبرز أهمية اعتماد ممارسات تطوير آمنة ومراقبة استباقية للتهديدات في سلاسل التوريد البرمجية.
وأكدت Valentić أن هذه الثغرة تمثل تهديدًا جديدًا، حيث يمكن لأي شخص إعادة استخدام اسم أي إضافة محذوفة، بما يعني أن أي إضافة مشهورة تُحذف تصبح عرضة للاستغلال.
أمثلة على حزم خبيثة أخرى
في سياق مشابه، تم التعرف على ثماني حزم npm خبيثة تقوم بسرقة معلومات متصفح Google Chrome على أنظمة Windows، بما في ذلك كلمات المرور، بيانات بطاقات الائتمان، محافظ العملات المشفرة، وملفات تعريف الارتباط (Cookies)، وإرسالها إلى عنوان railway[.]app أو Discord webhook كآلية بديلة.
الحزم التي نشرها مستخدمون باسم ruer وnpjun تشمل:
-
toolkdvv (الإصدارات 1.1.0، 1.0.0)
-
react-sxt (الإصدار 2.4.1)
-
react-typex (الإصدار 0.1.0)
-
react-typexs (الإصدار 0.1.0)
-
react-sdk-solana (الإصدار 2.4.1)
-
react-native-control (الإصدار 2.4.1)
-
revshare-sdk-api (الإصدار 2.4.1)
-
revshare-sdk-apii (الإصدار 2.4.1)
تقييم المخاطر
تستخدم هذه الحزم 70 طبقة من التعليمات البرمجية المشفرة لفك حمولة Python المخصصة لسرقة البيانات وتسريبها.
وقال الباحث في JFrog Guy Korolevski إن المستودعات مفتوحة المصدر أصبحت أحد المداخل الرئيسية للمهاجمين ضمن هجمات سلاسل التوريد، مع تزايد استخدام أساليب typosquatting والتظاهر بالشرعية.
وأضاف أن تأثير الحملات متعددة الطبقات المصممة لتجنب الأمن التقليدي وسرقة البيانات الحساسة يبرز أهمية وجود رؤية شاملة لسلسلة التوريد البرمجية، مع فحص آلي صارم ومصدر موثوق لجميع مكونات البرمجيات.
