ثغرة في جيت هاب تسمح بسرقة حسابات المطورين بضغطة واحدة

كشف باحثون في الأمن الرقمي عن ثغرة خطيرة في منصة جيت هاب تسمح للمهاجمين بسرقة رموز الوصول "OAuth" بضغطة واحدة فقط عبر بيئة فيجوال ستوديو كود.

أوضح الباحث الأمني عمار عسكر أن مجرد النقر على رابط مفخخ قد يمنح المهاجم القدرة على سرقة رمز جيت هاب الخاص بك، مما يتيح له القراءة والكتابة في مستودعاتك البرمجية بالكامل.

ووفقاً لما تابعه فريق تيكبامين، فإن هذه الثغرة تستهدف ميزة تسمى GitHub.dev، وهي محرر أكواد برمجية خفيف يعمل عبر المتصفح في بيئة معزولة تعتمد على محرر مايكروسوفت الشهير فيجوال ستوديو كود.

ما هي خطورة ثغرة جيت هاب المكتشفة حديثاً؟

تكمن الخطورة الأساسية في آلية عمل GitHub.dev، حيث يقوم موقع جيت هاب بإرسال رمز وصول "OAuth" إلى المحرر للسماح له بالتفاعل مع حسابك وإجراء التعديلات البرمجية نيابة عنك.

وقد أشار الخبراء إلى عدة نقاط حرجة حول هذا الرمز:

• الرمز ليس مخصصاً لمستودع (Repo) واحد فقط تتعامل معه.
• يمتلك الرمز صلاحيات كاملة للوصول إلى كافة مستودعاتك الأخرى.
• يمكن للمهاجم الوصول إلى المستودعات الخاصة والسرية.
• يتيح الرمز إمكانية التعديل والحذف والإضافة في الأكواد.

تسمح هذه الثغرة للمهاجمين بتثبيت إضافات خبيثة في محرر فيجوال ستوديو كود، تقوم باعتراض رموز الوصول بمجرد تمريرها إلى المحرر عبر استغلال آلية تبادل الرسائل بين نافذة المحرر الرئيسية ومعاينات الويب.

كيف يتم تنفيذ الهجوم عبر فيجوال ستوديو كود؟

يعتمد الهجوم بشكل أساسي على تشغيل كود جافا سكريبت خبيث داخل نافذة معاينة ويب غير موثوقة، وهي الميزة التي تُستخدم عادةً لمعاينة ملفات Markdown أو تحرير دفاتر Jupyter.

وتتم عملية الاختراق من خلال الخطوات التالية:

• محاكاة ضغطات المفاتيح (مثل Ctrl+Shift+P) لفتح لوحة الأوامر.
• تثبيت إضافة يتحكم بها المهاجم دون علم المستخدم.
• استخراج رمز وصول جيت هاب الذي يتم إرساله إلى GitHub.dev.
• استخدام واجهة برمجة تطبيقات جيت هاب لحصر جميع المستودعات الخاصة للضحية.

وحسب ما ذكر تيكبامين، فإن هذا النهج يستغل ميزة في فيجوال ستوديو كود تسمح بتثبيت الإضافات مباشرة في مجلد مساحة العمل دون الحاجة إلى تأكيد ثقة المستخدم، مما يتخطى فحص الناشر الموثوق.

تجاوز حماية الناشر الموثوق

أوضح الباحث أن الإضافات يمكنها تعريف اختصارات مفاتيح إضافية في ملف package.json الخاص بها. وبما أن المهاجم يمكنه إطلاق هذه الاختصارات بشكل موثوق، فإنه يستطيع تنفيذ أي أمر داخل المحرر.

هذا يعني إمكانية تثبيت أي إضافة خبيثة مع تخطي كافة التحذيرات الأمنية المعتادة التي تظهر للمستخدمين عند تثبيت أدوات من مصادر غير معروفة.

ما هو رد شركة مايكروسوفت على هذا التهديد؟

تم إخطار منصة جيت هاب بالثغرة في الثاني من يونيو 2026، وتم نشر التفاصيل للعلن بعد وقت قصير بسبب مخاوف تتعلق بطريقة تعامل مايكروسوفت مع ثغرات فيجوال ستوديو كود في الماضي.

وحالياً، تتخذ الشركة الخطوات التالية للتعامل مع الموقف:

• اعتراف رسمي بوجود الثغرة الأمنية في نظامها.
• العمل الفوري على تطوير إصلاح برمجي (Fix) لسد هذه الثغرة.
• مراجعة آليات تبادل الرسائل بين النوافذ داخل المحرر.
• تحديث سياسات الثقة في إضافات مساحة العمل المحلية.

في الختام، يوصي الخبراء بضرورة الحذر عند فتح روابط غير موثوقة تؤدي إلى بيئات برمجية سحابية، والتأكد من تحديث محرر الأكواد والمنصات المرتبطة به فور صدور التحديثات الأمنية الرسمية لضمان سلامة بياناتك البرمجية.