ثغرات أمنية

ثغرة في VS Code تتيح سرقة رموز GitHub بنقرة واحدة

كشف باحث أمني عن خلل في Webviews داخل VS Code قد يسمح بسرقة رموز GitHub عبر رابط واحد.

تم النشر في يونيو. 03, 2026

ثغرة في VS Code تتيح سرقة رموز GitHub بنقرة واحدة

كشف الباحث الأمني عمار عسكر، في تقرير تقني مفصل نشر يوم الثلاثاء 2 يونيو 2026، عن خلل أمني في آلية تعامل محرر Visual Studio Code مع الـ Webviews. تكمن خطورة هذا الخلل في إمكانية سماحه لمهاجم بسرقة رمز GitHub OAuth من مستخدمي منصة github.dev، وذلك بمجرد استدراجهم لفتح رابط مخصص لهذا الغرض.

وتتجلى خطورة المسار الذي استعرضه الباحث في كون github.dev، وهو محرر ويب يعتمد على VS Code داخل المتصفح، يحصل تلقائياً على رمز وصول من GitHub لتنفيذ العمليات نيابة عن المستخدم. ووفقاً للتقرير، لا يتوقف أثر هذا الرمز عند حدود المستودع المفتوح فحسب، بل يمتد ليشمل الوصول إلى كافة المستودعات الأخرى التي يملك المستخدم صلاحية عليها، بما في ذلك المستودعات الخاصة.

آلية الاستغلال

يرتبط هذا الخلل بطريقة تمرير أحداث لوحة المفاتيح من الـ Webviews إلى واجهة VS Code الرئيسية؛ حيث تمرر المنصة أحداثاً من نوع “keydown” إلى نافذة العمل الرئيسية لضمان تفعيل اختصارات لوحة المفاتيح أثناء تركيز المستخدم داخل الـ Webview. ويرى الباحث أن أي سكربت برمجي داخل Webview يمكنه استغلال هذا المسار لمحاكاة نقرات المفاتيح وتنفيذ أوامر تحكم داخل بيئة المحرر.

وقد تضمن إثبات المفهوم (PoC) الذي نشره الباحث سلسلة هجمات تعتمد على مستودع يضم Jupyter Notebook وامتداداً محلياً داخل مساحة العمل. حيث يؤدي تشغيل JavaScript داخل الـ Notebook إلى قبول إشعار تثبيت امتداد موصى به تلقائياً، ومن ثم تفعيل اختصار مخصص يثبت امتداداً خاضعاً لسيطرة المهاجم، ما يمكنه لاحقاً من قراءة رمز GitHub واستخدام واجهة GitHub API لاستعراض مستودعات المستخدم المتاحة.

تأكيدات من المصادر المرتبطة

أكد بلاغ منشور في مستودع Microsoft VS Code على GitHub، فتحه الباحث عمار عسكر بتاريخ 2 يونيو 2026، أن المشكلة الجوهرية تتعلق بقدرة الـ Webviews على تشغيل اختصارات لوحة المفاتيح في واجهة العمل الرئيسية. ويوضح البلاغ أن ميزة تمرير أحداث المفاتيح، المصممة لتحسين تجربة الاستخدام، قد تشكل مخاطرة أمنية عندما تسمح لـ Webview يحتوي على سكربت غير موثوق بإطلاق أوامر حساسة.

وفي سياق متصل، توضح وثائق GitHub الرسمية أن github.dev هو محرر خفيف يعمل كلياً داخل المتصفح لتسهيل تصفح الملفات وإجراء التعديلات وعمليات الالتزام (Commits) على المستودعات. وتشير الوثائق إلى أن المحرر يعتمد على إضافة GitHub Repositories لتوفير وظائفه الأساسية، مع حفظ العمل في التخزين المحلي للمتصفح حتى يتم الالتزام بالتغييرات.

الأثر المحتمل

أوضح الباحث أن الخلل يستهدف github.dev بشكل مباشر نظراً لسهولة فتح الرابط داخل المتصفح دون الحاجة لتنزيل المستودع أو إعداد بيئة تطوير محلية. أما بالنسبة لنسخة سطح المكتب من VS Code، فيعتبر الاستغلال أكثر تعقيداً؛ إذ يتطلب إقناع الضحية باستنساخ المستودع وفتح دفتر أو Webview لديه صلاحية تشغيل السكربت.

وحتى توقيت نشر هذا التقرير، لم يشر البلاغ العام إلى رقم CVE محدد أو تصنيف رسمي نهائي للثغرة، ما يضع المطورين أمام تحدي الموازنة بين مرونة استخدام الاختصارات داخل الـ Webviews وضرورة عزل المحتوى غير الموثوق عن أوامر المحرر الحساسة.

إجراءات احترازية

وجه الباحث توصيات لمستخدمي github.dev بضرورة مسح بيانات الموقع والتخزين المحلي المرتبط به من المتصفح، لا سيما لمن سبق لهم تجاوز شاشات تسجيل الدخول أو التهيئة. كما يُنصح بمراجعة الامتدادات المثبتة داخل بيئات VS Code وgithub.dev، وتوخي الحذر من فتح الروابط غير الموثوقة التي توجه المستخدمين مباشرة إلى دفاتر أو مستودعات تحتوي على محتوى تفاعلي.