باحثون يكشفون إضافات خبيثة في VS Code تستهدف مطوري البرمجيات

في واقعة أربكت مجتمع البرمجة حول العالم، اكتشف باحثون في الأمن السيبراني أن إضافتين شهيرتين لمحرر Visual Studio Code، والمعروضتين على أنهما أدوات ذكاء اصطناعي لتحسين الإنتاجية، تقومان سراً بسحب الشيفرات والملفات من أجهزة المطورين وإرسالها إلى خوادم في الصين. المفاجأة الأكبر أن الإضافتين وصل مجموع تنزيلاتهما إلى مليون ونصف تنزيل، وما زالتا متاحتين عبر سوق مايكروسوفت الرسمي، مما أثار حالة من القلق حول أمن سلاسل الإمداد البرمجية.

وفقاً لفريق Koi Security، تعمل الإضافتان بشكل طبيعي تماماً، وتقدمان اقتراحات ذكية وتصحيحاً للأخطاء كما هو متوقع من مساعد برمجي يعتمد على الذكاء الاصطناعي. وهذا ما جعل الخطر أكبر، إذ لم تشك الغالبية في وجود أي نشاط خبيث. هنا يبدأ الرابط بين السلوك الطبيعي للإضافات وبين الحملة التي أطلق عليها الباحثون اسم MaliciousCorgi، والتي تعتمد على إخفاء برمجيات تجسسية داخل أدوات تبدو مفيدة.

التحقيقات كشفت أن الإضافات تقرأ كل ملف يفتحه المطور، وترصد كل تعديل يتم على الشيفرة، ثم تقوم بترميز المحتوى عبر Base64 وإرساله إلى نطاق صيني يحمل اسم aihao123.cn. هذا يعني تسريب الشيفرات والمشاريع لحظة بلحظة. ومن هنا ينتقل النقاش إلى قدرات إضافية أخطر، مثل مراقبة ما يصل إلى خمسين ملفاً دفعة واحدة عند تفعيل التحكم عن بُعد من الخادم، ما يوسع نطاق الاختراق ويجعله أقرب إلى عملية سرقة بيانات منظمة.

الأمر لم يتوقف عند تسريب الملفات فقط؛ فقد تبيّن وجود إطار غير مرئي داخل واجهة الإضافة يقوم بتحميل أربع منصات تحليل بيانات من الصين، مثل Baidu Analytics وTalkingData. الهدف هو إنشاء بصمة رقمية دقيقة للمستخدم، تشمل نوع الجهاز وعاداته وسلوكه داخل بيئة التطوير. هذا يربط ما يحدث داخل VS Code بسياق أوسع من تتبع المستخدمين عبر أدوات التحليل التجارية وتكوين ملفات تعريف شاملة.

تزامن كشف هذه الإضافات الخبيثة مع إعلان Koi عن ست ثغرات جديدة أطلق عليها اسم PackageGate ضمن مديري الحزم JavaScript الشهيرين مثل npm وpnpm وBun. هذه الثغرات تمكن المهاجمين من تجاوز القيود المفروضة لمنع تنفيذ السكربتات تلقائياً أثناء التثبيت، وهو ما يعيد للأذهان هجمات Shai-Hulud التي انتشرت على شكل دودة رقمية واستهدفت رموز الوصول للنشر في npm. وهذا يربط بين الحوادث الحالية وموجة متصاعدة من الهجمات على سلاسل الإمداد البرمجية، التي تعتمد على استغلال الثقة في الأدوات الشائعة.

تكشف هذه القضية أن التهديدات لم تعد تأتي من أدوات مجهولة أو مواقع مشبوهة، بل قد تختبئ داخل إضافات رسمية تبدو مفيدة وآمنة. وبين تسريب الشيفرات، وتجاوز آليات الحماية في مديري الحزم، يصبح على الشركات والمطورين إعادة تقييم مستوى الثقة في أدواتهم. فالاعتماد على تعطيل السكربتات أو استخدام ملفات الإقفال لم يعد كافياً وحده، بل صار الوعي الاستباقي جزءاً أساسياً من الدفاعات. في نهاية المطاف، يبدو أن معركة حماية سلسلة الإمداد البرمجية ما تزال في بدايتها، وأن حوادث مثل MaliciousCorgi ليست سوى إنذار مبكر لما قد يأتي لاحقاً.