ثغرة Open VSX سمحت بتمرير إضافات خبيثة في متجر VS Code قبل الإصلاح، ما يثير مخاوف حول دقة فحوصات النشر المسبق لدى المطورين والمؤسسات.
ما تفاصيل ثغرة Open VSX وكيف تم استغلالها؟
Open VSX هو سجل مفتوح لإضافات VS Code ويُستخدم أيضاً في متاجر بدائل مثل Cursor وWindsurf، لذلك أي خلل فيه ينعكس على نطاق واسع. في بداية الشهر الماضي بدأت المؤسسة المشرفة فرض فحص مسبق للإضافات كخط دفاع أول.
آلية الخطأ في خط أنابيب الفحص
المشكلة ظهرت لأن الخدمة كانت تُعيد قيمة منطقية واحدة تعني إما عدم وجود ماسحات أو فشل تشغيلها، وهو ما أربك النظام. تحت الضغط، اعتبر النظام الفشل كأنه لا يوجد ما يتم فحصه، فتم تمرير الإضافة دون تدقيق فحص ما قبل النشر.
- تعطلت مهام الفحص عند ازدحام الطلبات.
- تم تعليم الإضافة كـ«ناجحة» تلقائياً.
- تفعيل الإضافة وإتاحتها للتحميل مباشرة.
- خدمة الاسترجاع كررت الخطأ نفسه عند إعادة المحاولة.
أطلق الباحثون على الخلل اسم Open Sesame وأشاروا إلى أن منطق الاسترجاع أعاد المشكلة نفسها. هذا يعني أن الإضافة قد تتخطى الفحص بالكامل إذا تعثر الجدول الزمني لإعادة المحاولة.
لماذا تشكل إضافات VS Code خطراً على المؤسسات؟
الإضافات قادرة على الوصول إلى ملفات المشروع والرموز السرية، وأي نشر خبيث قد يؤدي لتسريب مفاتيح الوصول. يشير فريق تيكبامين إلى أن انتشار المتاجر البديلة يزيد من سطح الهجوم، خصوصاً عند وجود حسابات ناشرين مجانية.
سيناريو الاستغلال العملي
المهاجم يمكنه إرسال عدد كبير من حزم .VSIX لإجبار الخادم على استهلاك اتصال قاعدة البيانات حتى الامتلاء. عندها تفشل مهام الفحص في الإنشاء، ويتم تمرير الإضافات دون الحاجة إلى صلاحيات خاصة.
- إنشاء حساب ناشر مجاني دون تحقق إضافي.
- رفع عدة إضافات متزامنة لزيادة الضغط.
- استنفاد مجمع الاتصالات في قاعدة البيانات.
- تجاوز الفحص ونشر الإضافات بشكل فوري.
هذا النوع من الهجمات يجعل سلاسل التوريد البرمجية أكثر هشاشة، لأن الإضافة الخبيثة قد تنتقل داخل مشاريع متعددة قبل اكتشافها. كما يزيد العبء على فرق الأمن التي تعتمد على الفحص الآلي.
كيف أصلحت مؤسسة Eclipse المشكلة وما الدروس؟
تم إصلاح الخلل في الإصدار 0.32.0 بعد إبلاغ مسؤول في 8 فبراير 2026، مع تحسين طريقة تفسير نتائج الفحص. التعديل فصل بين «عدم وجود ماسحات» و«فشل تشغيل الماسحات»، وأعاد توجيه الحالات غير المؤكدة للحجر الإداري.
ما الذي يجب أن يراقبه مشغلو المتاجر؟
- تسجيل واضح لحالات الفشل وأسبابها.
- حدود على معدل النشر لمنع الإغراق.
- مؤشرات أداء تراقب الامتلاء والازدحام.
- قواعد حجر تلقائي عند فقدان نتائج الفحص.
التحسينات شملت أيضاً إشعارات أوضح للمراجعين وتسجيلات تدقيق تساعد على تتبع سبب الفشل. هذه الخطوات تعزز موثوقية الفحص وتمنع تكرار حالات التجاوز.
كيف تحمي نفسك من إضافات خبيثة في VS Code؟
على المستخدمين والمؤسسات التعامل بحذر مع إضافات VS Code، خصوصاً تلك التي لم تُحدّث منذ فترة طويلة. من الأفضل مراجعة سجل الناشر والتحقق من التعليقات والاعتمادات الرسمية قبل التثبيت.
- تثبيت الإضافات الضرورية فقط.
- مراجعة الأذونات المطلوبة داخل VS Code.
- تحديث بيئة التطوير بانتظام.
- استخدام حلول مراقبة للملفات الحساسة.
كما يُنصح بإنشاء قائمة سماح داخلية للإضافات الموثوقة ومراجعتها دورياً. هذا الإجراء يقلل من تثبيت مكونات غير معروفة.
وفي ختام المتابعة لدى تيكبامين، تؤكد ثغرة Open VSX أن أمن متاجر الإضافات يتطلب مراقبة دائمة وتدقيقاً متقدماً. هذه الحادثة تذكّر بأن حماية المطورين تبدأ من سلسلة النشر نفسها.
