تكشف ثغرات إضافات VS Code عن مخاطر كبيرة بعد رصد عيوب في أربع إضافات شائعة تجاوزت 125 مليون تثبيت. قد تسمح الثغرات بسرقة ملفات محلية وتنفيذ كود عن بعد.
ما هي ثغرات إضافات VS Code المكتشفة؟
أوضح باحثو شركة OX Security أن نقاط الضعف ظهرت داخل إضافات مايكروسوفت Visual Studio Code الشائعة، ويمكن استغلالها عبر إعدادات مشروع أو طلبات محلية غير محمية.
الخطورة أن الإضافة تعمل بصلاحيات واسعة داخل بيئة التطوير، ما يمنح المهاجم فرصة لفتح ملفات أو تشغيل أوامر دون علم المستخدم.
لماذا تعد الإضافات نقطة هجوم؟
يعتمد كثير من المطورين على إضافات لتحسين الإنتاجية، لكن بعض التصميمات تسمح بتجاوزات أمنية تؤثر على الأمن السيبراني بالكامل.
- خوادم محلية تفتح منافذ دون تحقق كافٍ.
- أوامر تشغيل يمكن تمريرها من ملفات إعدادات.
- وصول مباشر لمسارات النظام والملفات.
- تقبل طلبات من الشبكة الداخلية أو المتصفح.
ما الإضافات المتأثرة ولماذا تنتشر؟
الإضافات الأربع تجاوزت 125 مليون تثبيت، وتخدم احتياجات يومية في تطوير الويب والبرمجة العامة، ما يفسر سرعة انتشارها بين المستقلين والشركات.
- Live Server: تشغيل خادم محلي لمعاينة مواقع الويب.
- Code Runner: تنفيذ الكود سريعاً من داخل المحرر.
- Markdown Preview Enhanced: معاينة Markdown مع أدوات متقدمة.
- Microsoft Live Preview: معاينة الصفحات بشكل تفاعلي أثناء العمل.
الاعتماد الكبير عليها يظهر خاصة في فرق الويب التي تحتاج معاينة فورية وتشغيل سريع للسكربتات، ما يجعل تحديثها أولوية يومية.
نطاق التثبيت الواسع
وجود هذه الإضافات في آلاف المشاريع يجعل أي إعداد غير موثوق مصدراً محتملاً للمخاطر، خصوصاً عند فتح مستودعات من الإنترنت.
كيف يمكن استغلال الثغرات وما المخاطر؟
يشير الباحثون إلى أن المهاجم قد يحتاج ثغرة واحدة أو إضافة خبيثة للتحرك جانبياً داخل الشبكة، وهو ما يرفع مستوى التهديد على المؤسسات.
- سرقة الملفات المحلية وسجلات المشاريع.
- تنفيذ أوامر عن بعد داخل جهاز المطور.
- الحصول على رموز وصول أو مفاتيح API.
- الانتقال إلى أجهزة أخرى في الشبكة.
- زرع برمجيات خبيثة أو تحديثات مزيفة.
كما يمكن استغلال الثغرات عبر ملفات إعدادات يتم تحميلها مع المشروع أو عبر طلبات HTTP محلية لا يتم التحقق منها جيداً.
ماذا يحدث داخل بيئة العمل؟
وفقاً لتيكبامين، فتح مشروع مجهول المصدر قد يفعّل إعدادات تشغل خدمات محلية أو تسمح بطلبات من الشبكة، وهو ما يسهل تنفيذ كود عن بعد.
كيف تحمي بيئة التطوير من ثغرات إضافات VS Code؟
الوقاية تبدأ بمراجعة الإضافات وتقليل الصلاحيات، إلى جانب تحديثات مستمرة لإغلاق الثغرات فور ظهورها، مع تعطيل أي خدمة غير ضرورية.
- تعطيل أو حذف الإضافات غير المستخدمة.
- عدم تطبيق إعدادات Workspace مجهولة المصدر.
- تحديث الإضافات وVS Code بشكل دوري.
- تقييد الاتصالات عبر جدار ناري محلي.
- إيقاف خدمات localhost عند عدم الحاجة.
خطوات إضافية للمؤسسات
كما يوصي خبراء تيكبامين بعزل بيئات التطوير، وتطبيق سياسات مراجعة للإضافات، ومراقبة حركة الشبكة لاكتشاف أي نشاط غير طبيعي بسرعة.
في النهاية، التعامل الجاد مع ثغرات إضافات VS Code يقلل احتمالات الاختراق ويحمي الشيفرة والبيانات الحساسة. اتخاذ خطوات وقائية مبكرة يوفر وقتاً وتكاليفاً كبيرة على فرق التطوير.
