يقوم ملحقان خبيثان في Visual Studio Code (VSCode) Marketplace من Microsoft، تم تثبيتهما بشكل جماعي 1.5 مليون مرة، بتسريب بيانات المطورين إلى خوادم مقرها الصين.
يتم الإعلان عن كلا الامتدادين كمساعدين للترميز يعتمدان على الذكاء الاصطناعي ويوفران الوظائف الموعودة. ومع ذلك، فإنها لا تكشف عن نشاط التحميل أو تطلب من المستخدمين الموافقة على تسليم البيانات إلى خادم بعيد.
VS Code Marketplace هو المتجر الرسمي للوظائف الإضافية لمحرر الأكواد الشهير من Microsoft. ملحقات VS Code عبارة عن مكونات إضافية قابلة للتثبيت من السوق تضيف ميزات أو تدمج الأدوات في المحرر. إحدى فئات الوظائف الإضافية الأكثر شيوعًا في الوقت الحالي هي مساعدو البرمجة الذين يعملون بالذكاء الاصطناعي.
“https://www.bleepstatic.com/c/w/wiz/AI-Data-Security-970×250.png” البديل=”Wiz”>
يقول الباحثون في شركة Koi لأمن نقاط النهاية وسلسلة التوريد إن الامتدادين الخبيثين هما جزء من حملة أطلقوا عليها اسم “MaliciousCorgi” ويشتركان في نفس الكود لسرقة بيانات المطورين.
بالإضافة إلى ذلك، يستخدم كلاهما نفس البنية التحتية لبرامج التجسس ويتواصلان مع نفس الخوادم الخلفية. في وقت النشر، كلاهما موجود في السوق:
- ChatGPT – 中文版 (الناشر: WhenSunset، 1.34 مليون عملية تثبيت)
- ChatMoss (CodeMoss) (الناشر: zhukunpeng، 150 ألف عملية تثبيت)
المصدر: بليبينج كومبيوتر
تستخدم الملحقات ثلاث آليات متميزة لجمع البيانات. الأول يتضمن المراقبة في الوقت الحقيقي للملفات المفتوحة في عميل VS Code. عند الوصول إلى ملف، يتم تشفير محتوياته بالكامل في Base64 ونقلها إلى خوادم المهاجمين.
يتم أيضًا التقاط أي تغييرات في الملف المفتوح وتصفيتها.
المصدر: كوي الأمن
“The moment you open any file – not interact with it, just open it – the extension reads its entire contents, encodes it as Base64, and sends it to a webview containing a hidden tracking iframe. Not 20 lines. The entire file,” يقول الباحثون كوي.
تتضمن الآلية الثانية أمر تجميع الملفات الذي يتحكم فيه الخادم والذي ينقل خلسة ما يصل إلى 50 ملفًا من مساحة عمل الضحية في كل مرة.
المصدر: كوي الأمن
تستخدم الآلية الثالثة إطار iframe خاليًا من البكسل في عرض الويب الخاص بالملحق لتحميل أربع مجموعات SDK للتحليلات التجارية: Zhuge.io، وGrowingIO، وTalkingData، وBaidu Analytics.
تُستخدم مجموعات SDK هذه لتتبع سلوك المستخدم وإنشاء ملفات تعريف الهوية وأجهزة بصمات الأصابع ومراقبة النشاط داخل المحرر. لذلك، في حين أن الأولين يجمعان ملفات عمل المطورين، يركز الثالث على ملفات تعريف المستخدمين.
يسلط Koi Security الضوء على المخاطر التي تشكلها الوظائف غير الموثقة في هذه الملحقات، بما في ذلك الكشف عن كود المصدر الخاص وملفات التكوين وبيانات اعتماد الخدمة السحابية وملفات .env التي تحتوي على مفاتيح API وبيانات الاعتماد.
اتصلت BleepingComputer بشركة Microsoft بشأن وجود الامتدادين في سوق VSCode، ولكننا ما زلنا ننتظر الرد. لم نتمكن من إنشاء قناة اتصال مع ناشر الملحقات.
تحديث 1/24 – أرسل متحدث باسم Microsoft البيان التالي إلى BleepingComputer:
“نحن نحقق في هذا التقرير وسنتخذ الإجراء المناسب وفقًا لعملياتنا وسياساتنا.” – متحدث باسم مايكروسوفت
7 أفضل ممارسات الأمان لـ MCP
نظرًا لأن MCP (بروتوكول السياق النموذجي) أصبح هو المعيار لربط LLMs بالأدوات والبيانات، فإن فرق الأمان تتحرك بسرعة للحفاظ على أمان هذه الخدمات الجديدة.
توضح ورقة الغش المجانية هذه 7 أفضل الممارسات التي يمكنك البدء في استخدامها اليوم.