كشف باحثون في الأمن السيبراني عن وجود ثغرات أمنية متعددة في أربع إضافات شهيرة لبرنامج Microsoft Visual Studio Code (VS Code)، قد تسمح للمهاجمين بسرقة الملفات المحلية وتنفيذ تعليمات برمجية عن بُعد. هذه الإضافات، التي تجاوز عدد مرات تثبيتها 125 مليون مرة، هي: Live Server، Code Runner، Markdown Preview Enhanced، وMicrosoft Live Preview.
تفاصيل الثغرات المكتشفة
- CVE-2025-65717 (درجة خطورة 9.1): ثغرة في إضافة Live Server تسمح للمهاجمين بتهريب الملفات المحلية عبر خداع المطور لزيارة موقع خبيث أثناء تشغيل الإضافة، حيث يقوم جافاسكريبت مزروع في الصفحة بجمع الملفات من الخادم المحلي على المنفذ 5500 وإرسالها إلى نطاق تحت سيطرة المهاجم. (لم تُعالج بعد).
- CVE-2025-65716 (درجة خطورة 8.8): ثغرة في Markdown Preview Enhanced تتيح تنفيذ تعليمات جافاسكريبت عبر رفع ملف Markdown مُصمم خصيصاً، ما يسمح بجمع بيانات المنافذ المحلية وتهريبها. (لم تُعالج بعد).
- CVE-2025-65715 (درجة خطورة 7.8): ثغرة في Code Runner تمكّن المهاجمين من تنفيذ تعليمات برمجية عبر إقناع المستخدم بتعديل ملف settings.json باستخدام أساليب التصيّد أو الهندسة الاجتماعية. (لم تُعالج بعد).
- ثغرة في Microsoft Live Preview تسمح بالوصول إلى ملفات حساسة عبر مواقع خبيثة تستغل الخدمة المحلية، وقد تم إصلاحها بصمت في الإصدار 0.4.16 في سبتمبر 2025.
المخاطر على بيئات التطوير
أوضح الباحثون أن مجرد وجود إضافة واحدة ضعيفة أو خبيثة يكفي لفتح الباب أمام المهاجمين للتحرك داخل المؤسسة وتنفيذ هجمات واسعة. الإضافات غير الآمنة يمكنها تعديل الملفات، تنفيذ تعليمات برمجية، أو حتى السيطرة الكاملة على الجهاز. هذا يجعل بيئات التطوير هدفاً جذاباً، خاصة أن المطورين غالباً ما يعملون على مشاريع حساسة تحتوي على بيانات أو شيفرات خاصة بالشركات.
توصيات لتعزيز الحماية
لتأمين بيئة التطوير، ينصح الخبراء بـ:
- تجنب تطبيق إعدادات غير موثوقة أو معدلة من مصادر مجهولة.
- تعطيل أو إزالة الإضافات غير الضرورية.
- تقوية الشبكة المحلية بجدران نارية تحد من الاتصالات الداخلة والخارجة.
- تحديث الإضافات بشكل دوري.
- إيقاف الخدمات المحلية مثل localhost عند عدم الحاجة إليها.
هذه الثغرات تذكير قوي بأن الإضافات، رغم فائدتها الكبيرة في تسهيل عمل المطورين، قد تتحول إلى نقطة ضعف خطيرة إذا لم تُكتب أو تُدار بشكل آمن.
