تخطى إلى المحتوى الرئيسي
شارك

اختراق ملحق Nx Console لسرقة بيانات مطوري VS Code

فريق جلتشمنذ ساعة0 مشاهدة5 دقائق
شارك
اختراق ملحق Nx Console لسرقة بيانات مطوري VS Code

"تعرض ملحق Nx Console لـ VS Code لاختراق خبيث يستهدف سرقة بيانات المطورين الحساسة. استغل الهجوم حساب مطور مخترق لتمرير برمجيات خبيثة لآلاف المستخدمين."

مقدمة تحليلية

في تطور أمني خطير يسلط الضوء على هشاشة سلاسل توريد البرمجيات، تم الكشف عن اختراق أمني استهدف ملحق Nx Console الشهير (الإصدار 18.95.0) المخصص لبيئة التطوير Visual Studio Code (VS Code). هذا الملحق، والمعروف بـ rwl.angular-console، يحظى بشعبية هائلة تتجاوز 2.2 مليون عملية تثبيت على متجر Microsoft VS Code Marketplace. ويأتي هذا التهديد المباشر ليعيد صياغة مفاهيم الأمان الموجهة للمطورين، حيث لم يعد الاختراق يستهدف الخوادم النهائية فحسب، بل بات يستهدف بيئات التطوير المحلية بصفتها المدخل الأساسي للبنية التحتية الحساسة. تشير التحليلات الأولية الصادرة عن فريق Nx وخبراء الأمن في StepSecurity إلى أن النافذة الزمنية للتعرض للتهديد كانت محدودة ولكنها شديدة الفعالية، حيث بدأت في 18 مايو 2026. ورغم أن التقارير الأولية الصادرة عن Microsoft أشارت إلى إصابة 28 مستخدمًا فقط، إلا أن التحليلات اللاحقة الصادرة عن Jeff Cross، المؤسس المشارك لشركة Narwhal Technologies، أكدت أن عدد الضحايا الفعليين قد يتجاوز 6,000 مطور قاموا بتثبيت النسخة الخبيثة، مما يمثل تهديداً واسع النطاق للشركات التقنية الكبرى.

التحليل التقني

تبدأ دورة حياة الهجوم بمجرد قيام المطور بفتح أي مساحة عمل (Workspace) داخل محرر VS Code باستخدام الملحق المصاب. في غضون ثوانٍ معدودة، يقوم الملحق سراً بجلب وتنفيذ حمولة (Payload) برمجية مشوشة بحجم 498 كيلوبايت. تكمن البراعة التقنية للمهاجمين في إخفاء هذه الحمولة داخل التزام برمجية غير مرتبطة بفروع برمجية نشطة (Dangling Orphan Commit) داخل مستودع nrwl/nx الرسمي على GitHub، مما جعل من الصعب اكتشافها بواسطة أدوات التحليل التقليدية. عند تشغيل الحمولة، يتم تثبيت بيئة تشغيل Bun JavaScript بشكل خفي لتنفيذ ملف index.js المشوش. يعمل هذا الملف كبرمجية خبيثة متعددة المراحل لسرقة بيانات الاعتماد، وتتلخص آليته التقنية في النقاط التالية:
  • تجنب الرصد الجغرافي: تجري البرمجية فحصاً أولياً للمنطقة الزمنية للجهاز المستهدف، لتجنب إصابة الأجهزة التي تقع ضمن النطاقات الزمنية لروسيا ورابطة الدول المستقلة (CIS).
  • حصاد البيانات الحساسة: يستهدف المهاجم سرقة ملفات التعريف وبيانات الاعتماد من محافظ 1Password، وإعدادات Anthropic Claude Code، بالإضافة إلى الرموز المميزة (Tokens) الخاصة بـ npm، وGitHub، وAmazon Web Services (AWS).
  • تثبيت الباب الخلفي: على أنظمة macOS، يقوم المهاجم بتثبيت باب خلفي مكتوب بلغة Python يحمل الاسم cat.py، ويستخدم آلية استعلام ذكية تعتمد على واجهة برمجة تطبيقات بحث GitHub (GitHub Search API) كحل ميت (Dead Drop Resolver) لتلقي الأوامر البرمجية المشفرة دون إثارة الشبهات الشبكية.
  • تزوير سلاسل التوريد اللاحقة: تكمن الميزة الأكثر خطورة في دمج تقنيات Sigstore بالكامل، بما في ذلك إصدار شهادات Fulcio وتوليد أدلة إثبات المنشأ لـ SLSA. يتيح ذلك للمهاجمين استخدام رموز npm OIDC المسروقة لنشر حزم خبيثة جديدة موقعة رقمياً وموثوقة، لتبدو كإصدارات رسمية وشرعية تماماً.
تتضمن مؤشرات الاختراق (IoCs) التي تم تحديدها بشكل رسمي من قبل Maintainers المشروع ما يلي:
  • تثبيت الإصدار 18.95.0 من Nx Console في الفترة ما بين 18 مايو 2026 الساعة 2:36 مساءً وحتى 2:47 مساءً بتوقيت CEST.
  • وجود ملفات مشبوهة في المسارات التالية: ~/.local/share/kitty/cat.py ~/Library/LaunchAgents/com.user.kitty-monitor.plist /var/tmp/.gh_update_state /tmp/kitty-*
  • تشغيل عمليات Python مرتبطة بملف cat.py أو عمليات برمجية تحت بيئة عمل تحتوي على المتغير المخفي __DAEMONIZED=1.

السياق وتأثير السوق

يعتبر هذا الاختراق هو الثاني من نوعه الذي يستهدف منظومة Nx خلال أقل من عام، حيث شهد أغسطس 2025 حملة هجومية تُعرف باسم s1ngularity تم فيها تسميم حزم npm متعددة لسرقة البيانات الحساسة. ومع ذلك، فإن النقلة النوعية في الهجوم الأخير تتمثل في استهداف الملحقات المباشرة لبيئات التطوير المتكاملة (IDEs) بدلاً من مكتبات الأكواد البرمجية، مما يمنح المهاجم صلاحيات واسعة على أجهزة المطورين. تزامن هذا الحادث مع موجة هجمات إلكترونية منسقة وواسعة النطاق استهدفت مستودعات الحزم مفتوحة المصدر، تضمنت ما يلي:
  • اكتشاف خمس حزم خبيثة على npm (منها supabase-javascript وiceberg-javascript) تحتوي على ملفات ثنائية ELF لسرقة جلسات Claude Code الحساسة للمطورين.
  • تسريب حزم خبيثة مثل noon-contracts التي تنتحل صفة منصات DeFi لسرقة مفاتيح SSH ومحافظ العملات الرقمية ورموز Kubernetes وبيانات البيئة المحلية .env.
  • حملة منسقة شملت 38 حزمة npm خبيثة استغلت أسلوب خلط الاعتمادية (Dependency Confusion) لاستهداف أنظمة البناء البرمجي لشركات تقنية عملاقة مثل Google وAlibaba وApple.
تُعزى الثغرة الأساسية التي أدت لاختراق Nx Console إلى هجوم خارجي استهدف سلسلة توريد تابعة لمنصة TanStack، مما تسبب في تسريب بيانات الاعتماد الخاصة بأحد مطوري Nx المعتمدين، واستغلالها لاحقاً لرفع الالتزام البرمجي الخبيث دون الحاجة لمروره عبر آليات المراجعة التقليدية.

رؤية Glitch4Techs

إن اختراق Nx Console يثبت بما لا يدع مجالاً للشك أن بيئة التطوير المحلية للمبرمج أصبحت الحلقة الأضعف في منظومة الأمن السيبراني للمؤسسات. لم تعد أساليب حماية الخوادم والـ Firewalls كافية عندما يمتلك المطور صلاحيات وصول واسعة للخدمات السحابية ومستودعات الشيفرة البرمجية، وتصبح أجهزتهم هدفاً مباشراً لبرمجيات سرقة الهوية. توصي منصة Glitch4Techs بالتدابير الصارمة التالية لحماية بيئات التطوير داخل الشركات التقنية:
  • عزل بيئات العمل: الانتقال الفوري لاستخدام بيئات التطوير السحابية المعزولة (مثل GitHub Codespaces أو Devcontainers) بدلاً من تشغيل الملحقات البرمجية والعمليات محلياً بصلاحيات كاملة على الأجهزة الشخصية.
  • تفعيل حماية الالتزام البرمجي: فرض قواعد صارمة تمنع قبول أي التزام برمجية غير موقع رقمياً بمفاتيح GPG الشخصية للمطورين، وتعطيل الثقة التلقائية في حسابات المساهمين حتى لو كانت رسمية وموثوقة سابقاً.
  • مراقبة السلوك الشبكي: استخدام أدوات الكشف والاستجابة على نقاط النهاية (EDR) لمراقبة السلوك الشبكي لعمليات بيئات التطوير، وحظر أي اتصالات خارجية غير مصرح بها تنشأ من أدوات مثل VS Code أو محركات تشغيل لغات البرمجة مثل Python وBun.

أعجبك المقال؟ شاركه

النشرة البريدية

كن أول من يعرف بمستقبل التقنية

أهم الأخبار والتحليلات التقنية مباشرة في بريدك.