الصفحة الرئيسية
الأخبار
التفاصيل

مايكروسوفت تصلح ثغرة حرجة في VS Code تسمح بسرقة رموز GitHub

iconCryptoBriefing
مشاركة
Share IconShare IconShare IconShare IconShare IconShare IconCopy
AI summary iconملخص

expand icon
صحح مايكروسوفت ثغرة حرجة في VS Code في 3 يونيو 2026، بعد أن كشف الباحث الأمني أمmar askar عن المشكلة في اليوم السابق. كانت هذه الثغرة تسمح للمهاجمين بسرقة رموز OAuth الخاصة بـ GitHub عبر استغلال بنقرة واحدة باستخدام GitHub.dev. قام دفتر جوبيتر ضار بمحاكاة إجراءات المستخدم لتثبيت إضافات ضارة ونقل الرموز. أضاف التصحيح طلبات تأكيد وحظر الأوامر الخطرة. يأتي هذا بعد حادثة 20 مايو حيث أثرت إضافة ملوثة على 3800 مستودع GitHub. مع تصاعد الجدل بين الأوراق المالية والسلع، تبرز هذه الثغرات المخاطر في البنية التحتية للأصول الرقمية. وقد تؤثر أيضًا ديناميكيات قوة الدولار مقابل العملات الرقمية على كيفية أولوية المطورين والشركات لأمن الأدوات مفتوحة المصدر.

كشف باحث الأمن الإلكتروني أمير أسكار عن ثغرة حرجة في Visual Studio Code في 2 يونيو 2026، حيث أظهر أن المهاجمين يمكنهم سرقة رموز OAuth الخاصة بـ GitHub من خلال هجوم بسيط يعتمد على نقرة واحدة. وأصدرت مايكروسوفت إصلاحًا مؤقتًا في اليوم التالي، 3 يونيو، وهو وقت رد سريع يوضح مدى جدية ريدموند تجاه هذه الثغرة.

الثغرة تستهدف GitHub.dev، النسخة القائمة على المتصفح من VS Code التي يستخدمها الملايين من المطورين لتحرير الكود مباشرة في متصفحاتهم. يمكن للمهاجم الذي يستغل هذه الثغرة الحصول على الوصول إلى كل مستودع مرتبط برمز الضحية المخترق، بما في ذلك المستودعات الخاصة.

كيف يعمل الهجوم

توجد الثغرة في نظام WebView الخاص بـ VS Code، وهو المكون المسؤول عن عرض المحتوى الويب المضمن داخل المحرر. تتواصل Webviews مع عملية VS Code الرئيسية من خلال آلية تبادل الرسائل، وهذا هو المكان الذي تصبح فيه الأمور مثيرة للاهتمام.

تبدأ سلسلة الهجوم برابط ضار يشير إلى مساحة عمل GitHub.dev. داخل هذه المساحة يوجد دفتر Jupyter مزود بـ JavaScript ضار. عندما يفتح الضحية الرابط، يتم تنفيذ كود الدفتر ضمن سياق عرض الويب.

إعلان

من هناك، يحاكي النص الضار أحداث لوحة المفاتيح للتفاعل مع واجهة VS Code برمجيًا. وهو يستغل نموذج الثقة الذي يمنحه GitHub.dev لمحتويات بيئة العمل، مما يخدع المحرر ليعامل كود المهاجم كإدخال مستخدم شرعي.

ثم يقوم السكريبت بتثبيت امتداد ضار من بيئة العمل الموثوقة. يقوم هذا الامتداد بسرقة رمز OAuth الخاص بالضحية دون إثارة أي تحذير مرئي. تتطلب السلسلة بأكملها فقط النقر على رابط واحد.

أصدر أسكار مستودعًا كاملًا لإثبات المفهوم للعامة إلى جانب الإفصاح، مما قدم لفرق الأمن المعلومات اللازمة لفهم الاختلال واختباره.

رد مايكروسوفت والنمط الأوسع

أدخل تصحيح مايكروسوفت في 3 يونيو حمايتين رئيسيتين. أولاً، أضاف مطالبة تأكيد عند محاولة المستخدمين فتح أنواع معينة من الملفات داخل GitHub.dev، مما كسر السلسلة الواحدة النقرة التي جعلت الهجوم فعالًا جدًا. ثانيًا، حظر الأوامر المضافة التي قد تكون ضارة والتي اعتمد عليها الاستغلال لتثبيت الكود الخبيث بصمت.

توقيت هذا الإفصاح ملحوظ. قبل أسابيع قليلة فقط، في 20 مايو 2026، عانى GitHub نفسه من خرق أمني عندما أصاب امتداد VS Code مسموم حوالي 3,800 مستودع داخلي.

ما يعنيه ذلك للمطورين والمنظمات

لمطوري الأفراد، الإجراء الفوري بسيط: تأكد من تحديث جلسات GitHub.dev بأحدث التصحيحات من Microsoft. غيّر أي رموز OAuth قد تكون مكشوفة، خاصة إذا نقرت على روابط غير مألوفة إلى مساحات عمل GitHub.dev في الأسابيع الأخيرة. راجع الإضافات المثبتة لديك وأزل أي شيء لا تستخدمه بنشاط.

يجب على فرق الأمان مراجعة أي الموظفين لديهم وصول إلى GitHub.dev وما إذا كانت بطاقات OAuth الخاصة بهم تمتلك صلاحيات أوسع من اللازم. مبدأ أقل صلاحيات ممكنة، والذي يمنح البطاقات فقط الحد الأدنى من الوصول المطلوب، كان سيحد من الضرر الناتج عن هذا الهجوم المحدد بشكل كبير.

المصدر:عرض النسخة الأصلية
إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة قد حصلت عليها من أطراف ثالثة ولا تعكس بالضرورة وجهات نظر أو آراء KuCoin. يُقدّم هذا المحتوى لأغراض إعلامية عامة فقط ، دون أي تمثيل أو ضمان من أي نوع ، ولا يجوز تفسيره على أنه مشورة مالية أو استثمارية. لن تكون KuCoin مسؤولة عن أي أخطاء أو سهو ، أو عن أي نتائج ناتجة عن استخدام هذه المعلومات. يمكن أن تكون الاستثمارات في الأصول الرقمية محفوفة بالمخاطر. يرجى تقييم مخاطر المنتج بعناية وتحملك للمخاطر بناء على ظروفك المالية الخاصة. لمزيد من المعلومات، يرجى الرجوع إلى شروط الاستخدام واخلاء المسؤولية.