اختراق إضافة Nx Console لسرقة بيانات المبرمجين على VS Code

حذر باحثون أمنيون من وجود برمجية خبيثة في إضافة Nx Console الشهيرة لبرنامج VS Code، تهدف لسرقة بيانات الاعتماد الحساسة للمطورين فور فتح مساحة العمل.

كشف خبراء الأمن السيبراني عن رصد إصدار مخترق من إضافة Nx Console (النسخة 18.95.0) تم نشره على متجر مايكروسوفت الرسمي لمحرر الأكواد الشهير فيجوال ستوديو كود (VS Code). وتعد هذه الإضافة أداة حيوية للمطورين، حيث تتجاوز عدد تحميلاتها 2.2 مليون عملية تثبيت، مما يجعل حجم التهديد كبيراً للغاية.

ما هو خطر اختراق إضافة Nx Console على المطورين؟

تكمن خطورة هذا الاختراق في قدرة الإضافة على العمل بصمت تام. وبحسب تقرير تيكبامين، فبمجرد قيام المطور بفتح أي مساحة عمل (Workspace)، تقوم الإضافة المخترقة بجلب وتنفيذ حمولة خبيثة مشفرة بحجم 498 كيلوبايت. يتم إخفاء هذه الحمولة داخل "التزام يتيم" (Orphan Commit) في مستودع Nx الرسمي على منصة جيتهاب (GitHub).

كيف تعمل البرمجية الخبيثة داخل بيئة التطوير؟

تعتمد البرمجية المكتشفة على أسلوب متطور لسرقة بيانات الاعتماد وتسميم سلسلة التوريد البرمجية. وتتلخص قدراتها التقنية في النقاط التالية:

• استخدام واجهة برمجة تطبيقات جيتهاب (GitHub API) ونفق DNS لتسريب البيانات.
• تثبيت باب خلفي (Backdoor) يعتمد على لغة بايثون في أنظمة ماك (macOS).
• استغلال محرك تشغيل Bun JavaScript لتنفيذ ملفات جافا سكريبت مشفرة ومموهة.
• تجنب إصابة الأجهزة الموجودة في النطاقات الزمنية لروسيا ودول الاتحاد السوفيتي السابق.

ما هي البيانات التي تستهدفها برمجية Nx Console الخبيثة؟

تستهدف هذه البرمجية الخبيثة جمع أسرار التطوير الحساسة التي قد تمنح المهاجمين وصولاً كاملاً إلى البنية التحتية للشركات. وفقاً لما ذكره تيكبامين، تشمل قائمة البيانات المستهدفة ما يلي:

• خزائن كلمات المرور في تطبيق 1Password.
• إعدادات وتكوينات Anthropic Claude Code.
• رموز الوصول (Tokens) الخاصة بمنصة npm وجيتهاب (GitHub).
• بيانات الاعتماد المرتبطة بخدمات أمازون ويب سرفيسز (AWS).

تهديد متقدم لسلسلة التوريد البرمجية

أشار باحثو الأمن إلى ميزة خطيرة في هذه البرمجية، وهي تكاملها الكامل مع Sigstore لإصدار شهادات Fulcio وتوليد أدلة SLSA. هذا يعني أن المهاجم يمكنه نشر حزم npm خبيثة تبدو وكأنها إصدارات رسمية وموثوقة وموقعة رقمياً، مما يسهل عملية تسميم مشاريع برمجية أخرى تعتمد على هذه الحزم.

كيف تم اختراق الإضافة وما هي الإجراءات المتخذة؟

أكد المطورون المسؤولون عن Nx Console أن السبب الجذري للحادث يعود إلى اختراق جهاز أحد مبرمجي الفريق، مما أدى لتسريب بيانات وصوله إلى جيتهاب. استغل المهاجمون هذه الصلاحيات لدفع الأكواد الخبيثة دون أن يتم اكتشافها في البداية.

في الوقت الحالي، تم إلغاء صلاحيات الوصول للمطور المتضرر، وحث فريق Nx جميع المستخدمين على التحديث إلى أحدث إصدار آمن فوراً. كما ينصح خبراء الأمن الرقمي بضرورة تغيير كافة الأسرار وكلمات المرور التي قد تكون مخزنة في بيئة التطوير لضمان عدم استغلالها مستقبلاً.