كشف باحثون من ReversingLabs عن حملة سيبرانية استغلت ثغرة في منصة VS Code Marketplace تتيح للجهات المهاجمة إعادة استخدام أسماء إضافات تمت إزالتها سابقا. الحملة تضمنت نشر إضافات خبيثة تحمل اسم “shiba” استخدمت كسلسلة متعددة المراحل لنشر برمجيات فدية. إحدى هذه الإضافات، ahbanC.shiba، كانت مجرد أداة تحميل تقوم بجلب حمولة إضافية من خادم بعيد، حيث جرى تشفير ملفات ضمن مجلد اختبار مع طلب فدية بعملة Shiba Inu المشفرة. اللافت أن المهاجمين لم يزودوا بأي عنوان محفظة للدفع، وهو أسلوب مشابه لحوادث سابقة في مستودع PyPI عندما استُخدم اسم حزمة محذوفة لإعادة نشر برمجيات خبيثة. هذا السلوك يتناقض مع توثيق مايكروسوفت الرسمي، الذي ينص على أن أسماء الإضافات يجب أن تكون فريدة.
إعادة استخدام الأسماء تكشف ثغرة في سياسات النشر وتهدد سلسلة التوريد البرمجية
التحقيق أظهر أن المشكلة تعود لطريقة تعامل المنصة مع الإضافات المحذوفة؛ حيث إن إلغاء النشر (Unpublish) يحافظ على اسم الإضافة وإحصاءاتها، بينما يؤدي الحذف الكامل (Remove) إلى تحرير الاسم وإتاحته للاستخدام مجددا من أي ناشر. هذا الخلل مكن المهاجمين من إعادة رفع شيفرات خبيثة تحت أسماء مستخدمة سابقا مثل “Solidity-Ethereum”، ما زاد من احتمالية تضليل المطورين وتحميل أدوات ضارة باعتبارها مألوفة أو ذات مصداقية. الباحثون أكدوا نجاحهم في إثبات الثغرة عبر إعادة نشر امتدادات تجريبية بأسماء سبق أن ارتبطت بحزم ضارة، مما يعكس خطورة الخلل على سلاسل توريد البرمجيات مفتوحة المصدر.
مخاطر متزايدة على مطوري البرمجيات وحاجة ملحة لتدخل مايكروسوفت
الحملة بينت أن هذه التقنية استُخدمت بشكل متكرر بين أواخر 2024 ومنتصف 2025 عبر ناشرين مختلفين لكن بنفس أسماء الامتدادات، وهو ما يعكس اتجاها أوسع في استغلال المستودعات العامة كقنوات لتوزيع البرمجيات الخبيثة. وعلى الرغم من أن الباحثين لم يجدوا دليلا على ارتباط مباشر مع مجموعات فدية كبرى مثل Black Basta، فإن التكتيك يعكس اهتماما متزايدا لدى المهاجمين في تسخير مستودعات شائعة مثل VS Code Marketplace في نشر البرمجيات الخبيثة. الخبراء شددوا على ضرورة أن يتحقق المطورون بدقة من أي إضافة قبل تثبيتها، خاصة تلك التي تحمل أسماء مألوفة. حتى وقت إعداد التقرير، لا يوجد مؤشر علني على أن مايكروسوفت اتخذت إجراء لمعالجة إمكانية إعادة استخدام أسماء الامتدادات المحذوفة.
