كشف تقرير أمني حديث عن توزيع إضافتين خبيثتين لبرنامج Visual Studio Code (VS Code) عبر منصة Open VSX، حيث قام ما يقرب من 200,000 مطور بتحميلهما قبل اكتشاف خطورتها. حملت الإضافتان اسم “Solidity Language”، وتخصصتا في استهداف مطوري لغة Solidity المستخدمة في كتابة العقود الذكية على بلوكشين Ethereum.
كيف تعمل الإضافات الخبيثة؟
قامت الإضافتان بفحص أجهزة الضحايا بحثًا عن برنامج ConnectWise ScreenConnect، وهو أداة شهيرة للتحكم عن بُعد. في حال وجوده، قامت الإضافات بتنزيل نسخة ضارة من البرنامج من خادم يسيطر عليه المهاجمون، مما يفتح الباب أمام تنفيذ هجمات اختراق متقدمة. وعلى الرغم من إزالة الإضافتين لاحقًا، إلا أن الحادثة أثارت تساؤلات حول مدى أمان المنصات المفتوحة مقارنة بتلك الخاضعة لرقابة صارمة.
الانفتاح مقابل الأمان: معضلة المطورين
أشار “جون تاكنر” من شركة Secure Annex إلى أن انفتاح منصة Open VSX، الذي يجذب الكثير من المطورين، يحمل في طياته مخاطر كبيرة مقارنة بـ “سوق VS Code” التابع لشركة مايكروسوفت، والذي يخضع لمراجعة أكثر صرامة. وتُظهر هذه الحادثة أن الاعتماد على منصات غير خاضعة لرقابة كافية قد يعرض المستخدمين لتهديدات أمنية جسيمة.
دروس مستفادة للمطورين وفرق الأمن
ينصح الخبراء المطورين بضرورة التحقق من مصدر أي إضافة قبل تثبيتها، ويفضلون الاعتماد على المنصات الموثوقة ذات السياسات الأمنية المشددة. كما يُوصى بفحص الإضافات المثبتة مسبقًا والتأكد من تحديثها باستمرار لتجنب الثغرات الأمنية.
