أعلنت مؤسسة Eclipse — المشرفة على مشروع Open VSX مفتوح المصدر — أنها اتخذت إجراءات عاجلة لسحب عدد محدود من الرموز (Tokens) التي تم تسريبها ضمن إضافات Visual Studio Code (VS Code) منشورة في السوق الرسمي.
جاءت هذه الخطوة عقب تقرير أصدرته شركة Wiz المتخصصة في أمن السحابة مطلع الشهر الجاري، والذي كشف عن وجود عدد من الإضافات في أسواق Microsoft VS Code وOpen VSX تحتوي على رموز وصول مكشوفة داخل المستودعات العامة. وكان من الممكن أن يستغل المهاجمون هذه الرموز للسيطرة على الإضافات وتوزيع برمجيات خبيثة من خلالها، ما يشكل تهديدًا لسلسلة التوريد البرمجية بأكملها.
وقال ميكائيل بربيرو، رئيس الأمن في مؤسسة Eclipse، في بيان رسمي:
“بعد التحقيق، تأكدنا من تسرب عدد محدود من الرموز التي كان يمكن إساءة استخدامها لنشر أو تعديل الإضافات. وقد تبيّن أن هذه التسريبات ناتجة عن أخطاء مطورين، وليست نتيجة اختراق للبنية التحتية الخاصة بـOpen VSX.”
تنسيق جديد للرموز وتعاون مع Microsoft
أوضحت المؤسسة أنها أدخلت تنسيقًا جديدًا للرموز يبدأ بالمقدمة “ovsxp_” بالتعاون مع مركز استجابة الأمن في مايكروسوفت (MSRC)، بهدف تسهيل عمليات المسح الآلي عن الرموز المكشوفة في المستودعات العامة.
كما أكدت الجهة المسؤولة عن السجل أنها قامت بإزالة جميع الإضافات التي أبلغت عنها شركة Koi Security ضمن حملة خبيثة تحمل اسم “GlassWorm”، مشيرةً إلى أن البرمجية الخبيثة الموزعة في تلك الحملة ليست دودة ذاتية الانتشار، بل تعتمد على سرقة بيانات اعتماد المطورين للانتشار إلى أهداف جديدة.
وأضاف بربيرو أن عدد التنزيلات المبلغ عنه (35,800) لا يعكس بدقة عدد المستخدمين المتأثرين، إذ تضمن تنزيلات وهمية تولدها برامج روبوتية (bots) أو أساليب تضخيم للرؤية استخدمها المهاجمون.
تغييرات أمنية لتعزيز حماية سلسلة التوريد
أعلنت مؤسسة Eclipse أنها بدأت في تطبيق مجموعة من الإصلاحات الأمنية الهيكلية لتعزيز أمن النظام البيئي لمطوري Open VSX، من أبرزها:
-
تقليص مدة صلاحية الرموز افتراضيًا للحد من آثار التسريب العرضي.
-
تسهيل إجراءات إبطال الرموز فور الإبلاغ عنها.
-
إطلاق آلية فحص تلقائي للإضافات عند نشرها للكشف عن الأنماط الخبيثة أو الأسرار البرمجية المضمّنة.
وتأتي هذه الخطوات في وقت يشهد فيه نظام التوريد البرمجي العالمي استهدافًا متزايدًا من قبل جهات التهديد التي تسعى إلى اختراق بيئات المطورين والموردين لبلوغ الشبكات المؤسسية من الداخل.
وقال بربيرو في ختام بيانه:
“مثل هذه الحوادث تذكّرنا بأن أمن سلسلة التوريد مسؤولية مشتركة — من المطورين الذين يديرون رموزهم بعناية، إلى القائمين على السجلات الذين يعززون قدرات الكشف والاستجابة.”
