في 18 مايو 2026، نثر مهاجمون 2,777 بايت من الشيفرة الخبيثة داخل إضافة Nx Console الشهيرة لمحرر VS Code — الأداة التي يعتمد عليها أكثر من 2.2 مليون مطوّر حول العالم — وبدأوا بسحب مفاتيح GitHub وAWS وnpm وKubernetes خلال ثوانٍ من فتح أي مشروع. استمرت نافذة التعرّض 11 دقيقة فقط قبل اكتشاف الفريق، لكنّ الضرر المحتمل يمتد إلى كل بيئة CI/CD وكل خزنة أسرار لمسها المطوّر المصاب.

كيف نُفّذ الهجوم: من رمز مسروق إلى اختراق كامل لسلسلة التوريد

بدأ المهاجمون بجمع رمز GitHub Token لأحد المساهمين من حادثة تسريب سابقة غير ذات صلة. استخدموا هذا الرمز لزرع commit يتيم (orphan commit) غير مرئي داخل المستودع الرسمي لمشروع Nx على GitHub. في الساعة 12:36 بتوقيت UTC، استغل المهاجمون بيانات اعتماد نشر مسروقة خاصة بسوق VS Code Marketplace لإصدار النسخة 18.95.0، حيث حقنوا الشيفرة الخبيثة مباشرة داخل ملف main.js المضغوط. تفعّلت الشيفرة تلقائياً لحظة فتح أي مشروع في المحرر.

ما يجعل هذا الهجوم مقلقاً بشكل خاص هو حجم الحمولة الخبيثة الصغير للغاية — 2,777 بايت فقط — مما يجعل اكتشافها بأدوات الفحص التقليدية شبه مستحيل. كما أن المهاجمين استهدفوا تحديداً ملفات تكوين أدوات الذكاء الاصطناعي للبرمجة مثل Claude Code (~/.claude/settings.json)، مما يشير إلى جيل جديد من هجمات سلسلة التوريد يستهدف مساعدي البرمجة بالذكاء الاصطناعي.

ثلاث قنوات تسريب: HTTPS وGitHub API وDNS Tunneling

لم يكتفِ المهاجمون بقناة واحدة لسرقة البيانات. صمّمت الحمولة الخبيثة ثلاث قنوات مستقلة للتسريب: اتصال HTTPS مشفّر مباشر، واستغلال GitHub API كقناة C2 مموّهة، ونفق DNS Tunneling لتجاوز جدران الحماية وأنظمة DLP. هذا التصميم يضمن وصول البيانات المسروقة حتى لو حُظرت إحدى القنوات.

البيانات المستهدفة شملت: رموز GitHub Personal Access Tokens، ومفاتيح npm publish tokens، وبيانات اعتماد AWS (Access Key وSecret Key)، وأسرار HashiCorp Vault، وملفات kubeconfig لعناقيد Kubernetes، وبيانات خزنات 1Password. بمعنى آخر، سرقة رمز واحد من مطوّر يمنح المهاجم وصولاً متسلسلاً إلى البنية التحتية الكاملة للمؤسسة.

التأثير على المؤسسات المالية السعودية وفرق التطوير الداخلية

قد يبدو هذا الهجوم بعيداً عن القطاع المالي السعودي، لكن الواقع مختلف تماماً. كثير من البنوك وشركات التقنية المالية في المملكة تعتمد على فرق تطوير داخلية تستخدم VS Code كمحرر أساسي، ومعظمها يثبّت عشرات الإضافات من Marketplace دون مراجعة أمنية. إطار SAMA CSCC يُلزم المؤسسات المالية بالتحكم في أدوات التطوير ضمن ضوابط إدارة بيئة التطوير الآمنة (Cybersecurity Controls 3-3-4)، كما يتطلب إطار NCA ECC ضوابط صارمة لحماية سلسلة التوريد البرمجية.

الخطورة الإضافية تكمن في أن المهاجمين استهدفوا مفاتيح CI/CD — وهي المفاتيح التي تتحكم في نشر التطبيقات المصرفية وتحديثاتها. اختراق مفتاح نشر واحد يعني إمكانية حقن شيفرة خبيثة في التطبيق المصرفي نفسه، مما يحوّل هجوم سلسلة التوريد من مشكلة تطوير إلى حادثة أمن مصرفي كاملة تستدعي الإبلاغ وفق متطلبات SAMA للإبلاغ عن الحوادث.

التوصيات والخطوات العملية للحماية

  1. تحديث فوري للإضافة: تأكد من تحديث Nx Console إلى النسخة 18.100.0 أو أحدث في جميع أجهزة المطورين. احذف أي نسخة مخبأة من النسخة 18.95.0 فوراً.
  2. تدوير شامل لجميع المفاتيح: إذا فُتح أي مشروع خلال نافذة التعرّض (18 مايو، 12:36-12:47 UTC)، دوّر فوراً جميع مفاتيح GitHub وnpm وAWS ورموز Kubernetes وكلمات مرور 1Password المخزنة محلياً.
  3. فحص سجلات CI/CD: راجع سجلات GitHub Actions وخطوط الأنابيب بحثاً عن أي عمليات نشر أو تغييرات غير مصرّح بها خلال الفترة من 18 مايو وحتى الآن.
  4. تطبيق سياسة قائمة بيضاء للإضافات: لا تسمح بتثبيت إضافات VS Code إلا من قائمة معتمدة ومراجَعة أمنياً. استخدم ملف extensions.json على مستوى المؤسسة لفرض ذلك.
  5. مراقبة DNS Tunneling: فعّل تحليلات DNS المتقدمة في أنظمة SIEM لاكتشاف أنماط التسريب عبر نفق DNS، خاصة الطلبات ذات النطاقات الفرعية الطويلة غير المعتادة.
  6. فصل بيئات التطوير عن الإنتاج: تأكد من أن مفاتيح بيئة الإنتاج لا يمكن الوصول إليها من أجهزة المطورين المحلية، وطبّق مبدأ الحد الأدنى من الصلاحيات وفق ضوابط SAMA CSCC.
  7. تدقيق أدوات الذكاء الاصطناعي: افحص ملفات تكوين مساعدي البرمجة بالذكاء الاصطناعي (Claude Code وGitHub Copilot وغيرها) بحثاً عن أي تعديلات غير مصرّح بها.

الخلاصة

هجوم Nx Console يكشف أن سلسلة التوريد البرمجية أصبحت الحلقة الأضعف في منظومة الأمن السيبراني. 11 دقيقة فقط كانت كافية لتحويل أداة تطوير موثوقة إلى سلاح يسرق مفاتيح البنية التحتية الكاملة. المؤسسات المالية السعودية التي تمتلك فرق تطوير داخلية تحتاج إلى إعادة تقييم شامل لأمن بيئات التطوير، وتطبيق ضوابط سلسلة التوريد البرمجية التي يفرضها كل من SAMA CSCC وNCA ECC.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC، بما في ذلك مراجعة أمن سلسلة التوريد البرمجية وبيئات التطوير.