كشف باحثون في الأمن السيبراني عن ثغرة خطيرة في بيئة GitHub.dev المرتبطة بمحرر Visual Studio Code (VS Code)، تتيح للمهاجمين سرقة رموز OAuth الخاصة بالمستخدمين بمجرد النقر على رابط خبيث.
وفقًا للباحث Ammar Askar، فإن هذه الرموز تمنح صلاحيات قراءة وكتابة على جميع المستودعات التي يمتلكها المستخدم، بما في ذلك المستودعات الخاصة، ما يجعل الهجوم ذا أثر واسع النطاق.
كيف يعمل GitHub.dev ولماذا يمثل خطورة؟
ميزة GitHub.dev تتيح تحرير الكود مباشرة عبر المتصفح باستخدام بيئة VS Code خفيفة، وتعمل عبر إرسال رمز OAuth من github.com إلى github.dev لتمكين التفاعل مع المستودعات. المشكلة أن هذا الرمز غير مقيّد بمستودع محدد، بل يمنح وصولًا شاملًا إلى جميع المستودعات المرتبطة بحساب المستخدم.
الهجوم يستغل آلية تمرير الرسائل بين نافذة VS Code الرئيسية وwebviews (المستخدمة لعرض Markdown أو تحرير دفاتر Jupyter)، حيث يتم حقن JavaScript خبيث داخل webview غير موثوق لمحاكاة ضغطات مفاتيح وفتح Command Palette وتنصيب إضافة خبيثة.
تجاوزات إضافية في VS Code
من أبرز نقاط الضعف أن VS Code يسمح بتنصيب إضافات محلية مباشرة من مجلد .vscode/extensions دون أي نافذة تحقق من الناشر الموثوق، ما يتيح للمهاجمين تجاوز فحص الثقة.
كما يمكن للإضافات تعديل keybindings في ملف package.json، ما يسمح بتنفيذ أوامر مثل تنصيب إضافة خبيثة بمجرد تفعيل اختصار لوحة المفاتيح، وهو ما يجعل الاستغلال أكثر سهولة وموثوقية.
موقف مايكروسوفت والإجراءات الأمنية
تم إخطار GitHub بالثغرة في 2 يونيو 2026، وبعد ساعة فقط أصبحت تفاصيلها علنية. وأكدت مايكروسوفت أنها تعمل على إصلاح المشكلة، مشيرة إلى أن الثغرة لا تؤثر على نسخة VS Code Desktop.
حتى صدور التحديثات الرسمية، ينصح الخبراء المستخدمين بـ:
- الحذر من الروابط غير الموثوقة التي قد تؤدي إلى فتح بيئة GitHub.dev.
- مراقبة الإضافات المثبتة داخل بيئة VS Code والتأكد من مصدرها.
- تقييد استخدام GitHub.dev في البيئات الحساسة أو الحسابات التي تحتوي مستودعات خاصة عالية القيمة.
