كشف باحثون في الأمن السيبراني عن وجود امتدادين خبيثين في منصة Visual Studio Code، يقدمان نفسيهما كمساعدين برمجيين مدعومين بالذكاء الاصطناعي، بينما يخفيان وظائف تجسسية تستهدف سرقة بيانات المطورين. الامتدادان، اللذان تجاوزا 1.5 مليون عملية تثبيت، ما زالا متاحين عبر متجر Visual Studio الرسمي، ويحملان أسماء:
- ChatGPT – 中文版 (أكثر من 1.34 مليون تثبيت)
- ChatGPT – ChatMoss (CodeMoss) (أكثر من 151 ألف تثبيت)
بحسب شركة Koi Security، فإن هذه الامتدادات تعمل بشكل طبيعي وتقدم خدمات الإكمال التلقائي وشرح الأخطاء البرمجية، لكنها في الخلفية تلتقط كل الملفات المفتوحة وتعديلات الشيفرة، ثم ترسلها إلى خوادم في الصين دون علم المستخدمين، في حملة أطلق عليها اسم MaliciousCorgi.
آليات التجسس الخفية
البرمجيات الخبيثة المدمجة داخل الامتدادات تقوم بقراءة محتوى الملفات، ترميزها بصيغة Base64، ثم إرسالها إلى خادم بعنوان aihao123.cn. الأخطر أن هذه العملية تتكرر مع كل تعديل يجريه المطور على ملفاته. كما تتضمن الامتدادات خاصية مراقبة لحظية يمكن تفعيلها عن بُعد، تسمح بتسريب ما يصل إلى 50 ملفاً دفعة واحدة.
إضافة إلى ذلك، تحتوي واجهة الويب الخاصة بالامتداد على إطار مخفي (iframe) يحمّل أربع حزم تحليلات تجارية صينية: Zhuge.io، GrowingIO، TalkingData، Baidu Analytics، بهدف إنشاء بصمات رقمية للأجهزة وبناء ملفات تعريفية دقيقة للمستخدمين.
ثغرات في مديري الحزم البرمجية
بالتوازي مع هذه الاكتشافات، أعلنت شركة أمنية عن وجود ست ثغرات من نوع Zero-Day في مديري الحزم الخاصة بجافاسكريبت مثل npm، pnpm، vlt، Bun، أطلق عليها اسم PackageGate. هذه الثغرات تسمح بتجاوز آليات الحماية التي تمنع تنفيذ السكربتات التلقائية أثناء تثبيت الحزم، وهو ما يفتح الباب أمام هجمات سلسلة التوريد.
تم إصلاح الثغرات في بعض المنصات مثل pnpm (الإصدار 10.26.0) وvlt (الإصدار 1.0.0-rc.10) وBun (الإصدار 1.3.5)، بينما رفضت npm معالجة الثغرة، مؤكدة أن مسؤولية التحقق من محتوى الحزم تقع على المستخدمين أنفسهم. وقد صنفت بعض هذه الثغرات بمستويات خطورة عالية، مثل CVE-2025-69264 بدرجة 8.8 وCVE-2025-69263 بدرجة 7.5.
إجراءات وقائية وتوصيات
رداً على هذه التهديدات، شددت GitHub على ضرورة اعتماد آليات نشر موثوقة واستخدام رموز وصول دقيقة مع تفعيل المصادقة الثنائية (2FA)، وأعلنت عن إلغاء الرموز القديمة وتقييد صلاحيات الرموز الجديدة قصيرة الأجل. كما أوصى خبراء الأمن بضرورة تعطيل السكربتات التلقائية والالتزام بملفات القفل (lockfiles) كإجراء أساسي، مع التأكيد أن هذه الخطوات وحدها لا تكفي لمواجهة جميع المخاطر المرتبطة بـ PackageGate.
هذه التطورات تؤكد أن الهجمات على سلاسل التوريد البرمجية أصبحت أكثر تعقيداً، وأن المطورين بحاجة إلى وعي أكبر وإجراءات صارمة لحماية بيئاتهم من الامتدادات المزيفة والثغرات غير المعالجة.
