أطلق باحثو الأمن السيبراني تحذيراً عاجلاً بعد اكتشاف نسخة مخترقة من إضافة Nx Console الشهيرة على سوق Microsoft Visual Studio Code، حيث جرى نشر الإصدار 18.95.0 تحت اسم rwl.angular-console، وهو امتداد يستخدمه ملايين المطورين في VS Code وCursor وJetBrains. عدد التنزيلات تجاوز 2.2 مليون، ما يجعل الحادثة ذات أثر واسع النطاق، بينما لم تتأثر نسخة Open VSX.
آلية الاختراق والحمولة الخبيثة
أوضح الباحث Ashish Kurmi من StepSecurity أن الإضافة المخترقة كانت تجلب حمولة مشفرة بحجم 498 كيلوبايت من تعهد يتيم مخفي داخل مستودع nrwl/nx على GitHub. هذه الحمولة عبارة عن أداة متعددة المراحل لسرقة بيانات الاعتماد وتسميم سلسلة التوريد، حيث تقوم بجمع أسرار المطورين وإرسالها عبر HTTPS وواجهة GitHub API وقنوات DNS tunneling.
الأخطر أن البرمجية الخبيثة تنصب باباً خلفياً بلغة Python على أنظمة macOS، يستخدم واجهة GitHub Search API كقناة لاستقبال أوامر إضافية، ما يمنح المهاجمين قدرة على التحكم المستمر في الأجهزة المصابة.
جذور الحادثة وتداعياتها
أقر فريق Nx بأن أحد المطورين تعرض لاختراق جهازه، ما أدى إلى تسريب بيانات اعتماده على GitHub، واستغلالها لدفع التعهد الخبيث غير الموقّع. بمجرد فتح أي مساحة عمل في VS Code، يبدأ الامتداد بتنزيل بيئة تشغيل Bun JavaScript وتشغيل ملف index.js المشفر.
البرمجية تتجنب إصابة الأجهزة الموجودة في مناطق روسيا ورابطة الدول المستقلة، وتعمل كعملية خلفية منفصلة لجمع الأسرار من خزائن 1Password، إعدادات Claude Code، وحسابات npm وGitHub وAWS.
تقنيات متقدمة في التزوير والتخفي
من القدرات اللافتة أن الحمولة تضمنت تكاملاً كاملاً مع Sigstore، بما في ذلك إصدار شهادات Fulcio وتوليد بيانات SLSA provenance. هذا يعني أن المهاجمين قادرون على نشر حزم npm لاحقة تحمل توقيعات مشفرة صحيحة، ما يجعلها تبدو وكأنها إصدارات شرعية وموثوقة.
هذه القدرة على تزوير سلسلة التوريد تضاعف خطورة الهجوم، إذ يمكن أن تنتقل العدوى إلى ملايين الأجهزة عبر تحديثات تبدو سليمة.
مؤشرات الاختراق وحزم npm الخبيثة
أوصى فريق Nx المستخدمين بالترقية إلى الإصدار 18.100.0 أو أحدث، ونشر قائمة بمؤشرات
الاختراق، منها وجود ملفات مثل:
~/.local/share/kitty/cat.py
~/Library/LaunchAgents/com.user.kitty-monitor.plist
/var/tmp/.gh_update_state
/tmp/kitty-*
كما يجب التحقق من العمليات الجارية مثل عملية Python التي تشغل cat.py أو أي عملية تحمل المتغير __DAEMONIZED=1.
بالتوازي، اكتُشفت حزم npm خبيثة عديدة مثل iceberg-javascript وsupabase-javascript وauth-javascript، إضافة إلى حزم تستهدف مفاتيح SSH والمحافظ الرقمية مثل noon-contracts، وأخرى تحمل برمجيات RAT عبر Telegram مثل martinez-polygon-clipping-tony. هذه الحملات تكشف عن تنسيق واسع لسرقة بيانات الاعتماد باستخدام تقنيات dependency confusion لاستهداف شركات كبرى مثل Apple وGoogle وAlibaba.
الكلمات المفتاحية: , VS Code, rwl.angular-console, nrwl/nx, Sigstore, SLSA, Bun JavaScript, Python backdoor, npm, dependency confusion, بيانات الاعتماد, الأمن السيبراني, StepSecurity, GitHub
