كشفت دراسة أمنية جديدة عن وجود خلل خطير في آلية التحقق من الإضافات داخل عدد من بيئات تطوير البرمجيات المتكاملة (IDEs)، مثل Visual Studio Code وVisual Studio وIntelliJ IDEA وCursor، مما يتيح للمهاجمين تنفيذ تعليمات برمجية خبيثة على أجهزة المطورين، حتى وإن بدت الإضافة “موثوقة”.
وقال الباحثان الأمنيان نير زادوك وموشيه سيمان توف بوستان من شركة OX Security في تقرير نُشر عبر The Hacker News:
“اكتشفنا أن التحقق في Visual Studio Code يمكن التحايل عليه بحيث تظهر الإضافة وكأنها موثقة رغم احتوائها على وظائف إضافية خبيثة، ما يمنح المطورين شعورًا زائفًا بالأمان.”
كيف تحدث الثغرة؟
يرتبط التحقق في Visual Studio Code بإرسال طلب HTTP من نوع POST إلى نطاق marketplace.visualstudio[.]com للتأكد مما إذا كانت الإضافة موثقة رسميًا أم لا.
تكمن الثغرة في إمكانية إنشاء إضافة خبيثة تحتوي على نفس القيم الخاصة بإضافة موثقة — مثل الإضافات الصادرة عن Microsoft نفسها — مما يتيح لها تجاوز فحوصات الثقة دون فقدان شارة “موثق” (Verified).
نتيجة لذلك، يمكن أن تظهر هذه الإضافات الخبيثة وكأنها آمنة وموثوقة للمطورين، بينما تحتوي في الواقع على تعليمات برمجية قادرة على تنفيذ أوامر على نظام التشغيل المضيف.
استغلال كلاسيكي لأسلوب التحميل الجانبي
تُعد هذه الحالة مثالًا كلاسيكيًا على استغلال أسلوب التحميل الجانبي (Sideloading)، حيث يقوم المهاجمون بتوزيع الإضافات خارج السوق الرسمي دون أن تخضع لعمليات تحقق مشددة مثل التوقيع الرقمي أو فحص الناشر الموثوق.
ويشكل هذا نقطة دخول منخفضة العتبة للمهاجمين لبلوغ تنفيذ الأوامر عن بُعد (Remote Code Execution)، ما يُعد تهديدًا بالغ الخطورة في بيئات التطوير التي غالبًا ما تحتوي على بيانات اعتماد حساسة وشفرات مصدرية مهمة.
وفي إثبات لمفهوم الاستغلال (PoC)، قام الباحثون بإنشاء إضافة خبيثة قادرة على تشغيل تطبيق الآلة الحاسبة (Calculator) على جهاز يعمل بنظام Windows — مما يُثبت قدرتها على تنفيذ أوامر فعلية على الجهاز.
من خلال تعديل القيم المستخدمة في طلبات التحقق، استطاع الباحثون إنشاء حزمة vsix خبيثة تظهر وكأنها إضافة رسمية، دون فقدان حالة “موثق”.
التأثير على بيئات تطوير متعددة
لم تقتصر الثغرة على Visual Studio Code فحسب، بل تمكن فريق OX Security من تكرار نفس السلوك الخاطئ في بيئات تطوير أخرى مثل IntelliJ IDEA وCursor، عبر تعديل القيم الخاصة بالتحقق مع الحفاظ على الحالة الموثوقة.
وفي ردها على البلاغ، قالت مايكروسوفت إن هذا السلوك “مقصود” ضمن التصميم، مؤكدة أن منصة Marketplace تمنع نشر إضافات vsix معدلة بفضل آلية التحقق التلقائي من التوقيع الرقمي.
ومع ذلك، لاحظ الباحثون أن الثغرة ما تزال قابلة للاستغلال حتى تاريخ 29 يونيو 2025.
توصيات وتداعيات أمنية
تعيد هذه الثغرة التأكيد على أن الاعتماد على شارة “موثق” وحدها لا يكفي لضمان سلامة الإضافات، إذ يستطيع المهاجمون إقناع المطورين بتثبيت إضافات خبيثة دون علمهم.
ولتقليل المخاطر:
-
يجب تثبيت الإضافات فقط من الأسواق الرسمية مثل Marketplace
-
تجنب استخدام ملفات vsix أو zip غير الرسمية التي تُشارك على الإنترنت أو GitHub
-
التأكد من تفعيل خاصية التحقق من التوقيع الرقمي في بيئة التطوير
وقال الباحثون:
“القدرة على حقن شيفرات خبيثة داخل إضافات، وتغليفها كملفات VSIX أو ZIP، وتثبيتها دون فقدان حالة التوثيق تمثل خطرًا بالغًا، لا سيما على المطورين الذين يعتمدون على مصادر خارجية.”
