ثغرة حرجة في سجل Open VSX تهدد ملايين المطورين بهجمات على سلسلة التوريد

ثغرة حرجة في سجل Open VSX تهدد ملايين المطورين بهجمات على سلسلة التوريد
ثغرة حرجة في سجل Open VSX تهدد ملايين المطورين بهجمات على سلسلة التوريد
شارك هذا الخبر

كشف باحثون في الأمن السيبراني عن ثغرة أمنية حرجة في سجل Open VSX (open-vsx[.]org)، والتي كان من الممكن استغلالها للسيطرة الكاملة على سوق إضافات Visual Studio Code، مما يشكل خطرًا جسيمًا على سلسلة توريد البرمجيات.

وقال الباحث “أورين يومتوف” من شركة Koi Security:

“هذه الثغرة تتيح للمهاجمين السيطرة الكاملة على سوق الإضافات، وبالتالي السيطرة على ملايين من أجهزة المطورين. فمن خلال استغلال خلل في التكامل المستمر (CI)، يمكن لجهة خبيثة نشر تحديثات ضارة لجميع الإضافات على Open VSX.”

الإصلاح بعد الكشف:

تم الإبلاغ عن الثغرة بموجب سياسة الإفصاح المسؤول في 4 مايو 2025، وخضعت لعدة جولات من التصحيحات من قبل القائمين على المشروع، حتى تم نشر التحديث النهائي في 25 يونيو 2025.

ما هو Open VSX؟

سجل Open VSX هو مشروع مفتوح المصدر بديل لـ Visual Studio Marketplace، ويتم الإشراف عليه من قبل مؤسسة Eclipse.
تستخدمه العديد من بيئات التحرير البرمجي مثل:

  • Cursor

  • Windsurf

  • Google Cloud Shell Editor

  • Gitpod

  • وغيرها.

وأشار “يومتوف” إلى أن الاعتماد الواسع على Open VSX يعني أن اختراقه سيكون بمثابة كابوس في سلسلة التوريد:

“كل مرة يتم فيها تثبيت إضافة، أو تحميل تحديث بصمت في الخلفية، فإن هذه العمليات تمر عبر Open VSX.”

أصل الثغرة:

تكمن المشكلة في مستودع GitHub المخصص لنشر الإضافات إلى open-vsx.org، والذي يحتوي على سكريبتات للنشر التلقائي.

يقوم المطور بإرسال طلب إضافة لإدراج إضافته ضمن ملف extensions.json. بعد الموافقة عليه، يتم تشغيل عملية GitHub Actions يوميًا في الساعة 03:03 صباحًا بتوقيت UTC، والتي تستخدم حزمة vsce لنشر الإضافات.

لكن الخطر الحقيقي يكمن في أن هذا الإجراء يتم باستخدام رموز اعتماد مميزة (OVSX_PAT) تابعة لحساب @open-vsx، والذي يمتلك صلاحية نشر أو استبدال أي إضافة في السوق.

“نظريًا، يجب أن لا تصل أي شفرة غير موثوقة إلى هذا الرمز السري. لكن بسبب طريقة تنفيذ npm install، يتم تشغيل أي سكريبت بناء تابع للإضافات، مع إمكانية الوصول إلى متغير البيئة الذي يحتوي على الرمز السري OVSX_PAT.” – يومتوف

ماذا يعني ذلك؟

يعني أن المهاجم يمكنه الحصول على رمز الوصول الخاص بالحساب الرئيسي، ما يتيح له:

  • نشر إضافات جديدة خبيثة

  • تعديل الإضافات الموجودة لزرع تعليمات برمجية ضارة

  • استغلال ملايين من أجهزة المطورين المرتبطة بالسوق

خطر إضافات محررات الأكواد:

في أبريل 2025، أدرجت منظمة MITRE في إطارها الهجومي ATT&CK تقنية جديدة باسم “ملحقات بيئات التطوير IDE Extensions”، مشيرة إلى إمكانية استغلالها من قبل المهاجمين لتثبيت وجود دائم داخل الأنظمة المستهدفة.

وقال يومتوف في هذا الصدد:

“كل عنصر في السوق قد يكون بابًا خلفيًا. إنها تبعيات برمجية غير خاضعة للفحص، وتتمتع بصلاحيات عالية، ويجب معاملتها بنفس درجة التدقيق كما هو الحال مع الحزم على PyPI وnpm وHuggingFace وGitHub. وإذا لم تُراقب، فإنها تشكل سلسلة توريد ضخمة وغير مرئية يستغلها المهاجمون بشكل متزايد.”

وسوم
محمد طاهر
محمد طاهر
المقالات: 421

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة