⚡ أبرز النقاط

في 18 مايو 2026، تعرضت إضافة VS Code المعروفة بـNx Console (2.2 مليون تثبيت) للاختراق عبر برنامج سرقة بيانات اعتماد استهدف رموز GitHub وAWS وKubernetes خلال نافذة تعرض مدتها 11 دقيقة. وأفضت سلسلة الهجوم ذاتها إلى وصول مجموعة TeamPCP إلى 3,800 مستودع داخلي في GitHub عبر إضافة مسمومة ثبّتها موظف في الشركة. وفي الوقت ذاته، اخترق مجموعة Coinbase Cartel شبكة Grafana Labs.

الخلاصة: يجب على فرق الهندسة مراجعة صلاحيات نشر إضافات VS Code فوراً، وتفعيل MFA عبر الأجهزة على جميع حسابات سجل الحزم، وتدوير أي بيانات اعتماد GitHub والسحابة كانت نشطة في 18 مايو 2026.

اقرأ التحليل الكامل ↓

🧭 رادار القرار

الأهمية بالنسبة للجزائر
عالي
تواجه فرق التطوير والمؤسسات الجزائرية المستخدمة لـ VS Code وGitHub وnpm السطح الهجومي ذاته؛ لا تُميّز هجمات سلسلة التوريد جغرافياً، وأنماط الأدوات الجزائرية تعكس اعتماداً عالمياً.
البنية التحتية جاهزة؟
جزئي
تفتقر معظم المنظمات الهندسية الجزائرية إلى سياسات رسمية لحوكمة الإضافات؛ الضوابط الأساسية متاحة في الأدوات القائمة لكنها لم تصبح ممارسة معيارية.
المهارات متوفرة؟
جزئي
تستخدم المجتمع التطويري الجزائري المتنامي VS Code وnpm بكثافة؛ الممارسات الهندسية الواعية بمخاطر سلسلة التوريد ناشئة لكنها لم تنتشر بعد.
الجدول الزمني للعمل
فوري
ناقلات الهجوم هذه نشطة الآن؛ هجوم Nx Console وقع في 18 مايو 2026 وأجهزة المطورين المتضررة لا تزال في خطر إن لم يُجرَ تدوير بيانات الاعتماد.
أصحاب المصلحة الرئيسيون
مدراء التقنية، قادة الهندسة، فرق DevSecOps، أمن تقنية المعلومات
نوع القرار
تكتيكي
يوفر هذا المقال ضوابط محددة وقابلة للتطبيق لأمن سلسلة توريد المطورين يمكن لفرق الهندسة اعتمادها فوراً.

خلاصة سريعة: يجب على فرق الهندسة الجزائرية مراجعة صلاحيات نشر إضافات VS Code على حسابات GitHub وnpm الخاصة بهم فوراً، وتفعيل MFA عبر الأجهزة على جميع بيانات اعتماد نشر الحزم، ونشر ماسح بيانات اعتماد على أجهزة المطورين للكشف عن أي رموز ربما جُمعت في هجوم Nx Console. أي مطور كان لديه VS Code مفتوحاً بين 12:36 و12:47 UTC في 18 مايو 2026 مع تثبيت Nx Console يجب عليه تدوير جميع بيانات اعتماد GitHub وnpm والسحابة فوراً.

إعلان

حين تصبح أدوات المطورين ناقلاً للهجوم

تحوّلت سطح هجوم سلسلة توريد البرمجيات تحولاً جذرياً في 2026. خلص المهاجمون إلى أن استهداف المطورين مباشرةً — عبر الأدوات التي يثقون بها ويُثبّتونها دون تدقيق ويُحدّثونها تلقائياً — أكثر كفاءة من اختراق شبكات الشركات فردياً. حادثتان في مايو 2026 تكشفان هذه المعادلة بوضوح مزعج.

في 18 مايو 2026 عند 12:36 بالتوقيت العالمي المنسق (UTC)، نُشر إصدار خبيث من إضافة Nx Console لـ VS Code في VS Code Marketplace. Nx Console هي أداة إنتاجية لسير العمل في monorepo، بـ2.2 مليون تثبيت. الإصدار المخترق — 18.95.0 — تضمّن حمولة مُشفَّرة تنفّذ صامتةً حين يفتح أي مطور workspace. في غضون 11 دقيقة قبل أن يكتشف فريق Nx الإصدار الخبيث ويسحبه (عند 12:47 UTC)، كانت الحمولة تحصد بيانات الاعتماد من الأجهزة المتضررة.

في الوقت ذاته، اخترقت مجموعة الفدية Coinbase Cartel شبكة Grafana Labs، الشركة التي تستخدم منصة المراقبة مفتوحة المصدر التابعة لها مئات الآلاف من المنظمات عالمياً. لا تُشكّل هذه الحوادث أحداثاً معزولة — بل هي التعبير التشغيلي عن رصيد استخباراتي أوسع. يوثّق تقرير Mandiant M-Trends 2026، المستند إلى 500,000+ ساعة استجابة للحوادث، أن ثغرات الاستغلال (بما فيها ناقلات هجوم سلسلة التوريد) لا تزال الطريقة الأولى للوصول الأولي للسنة السادسة على التوالي.

تشريح هجوم Nx Console

الوصول الأولي للمهاجم إلى خط أنابيب نشر الإضافة جاء من رمز GitHub لأحد المساهمين “جُمع خلال حادثة سابقة ومنفصلة في سلسلة التوريد” — مما يُجسّد الطابع التراكمي لاختراقات سلسلة التوريد: اختراق واحد يُمكّن التالي.

الحمولة الخبيثة في الإصدار 18.95.0 كانت سارق بيانات اعتماد متعدد المراحل قادراً على حصاد الرموز من قائمة مستهدفة محددة: رموز الوصول الشخصية لـGitHub، ورموز npm، وبيانات اعتماد AWS، ورموز HashiCorp Vault، ورموز Kubernetes، ومفاتيح SSH، وملفات تهيئة Claude Code — وهي أول حالة موثّقة يُستهدف فيها مساعد ذكاء اصطناعي تحديداً في هجوم على سلسلة التوريد.

على أنظمة macOS، ثبّتت الحمولة أيضاً باباً خلفياً (backdoor) دائماً بـPython يتحقق من بنية المهاجم كل ساعة. هذا الوصول الدائم كان سيبقى بعد إزالة الإضافة الخبيثة — مما يستلزم تدوير كامل لبيانات الاعتماد وتدقيقاً شاملاً للنظام للمعالجة الكاملة.

ثم امتدت سلسلة الهجوم: في 20 مايو 2026، أكد GitHub علناً أن مجموعة التهديد TeamPCP — التي يتتبعها Google Threat Intelligence تحت مسمى UNC6780 — وصلت إلى نحو 3,800 مستودع داخلي في GitHub بعد أن ثبّت موظف في GitHub الإضافة المسمومة. ثم أعلنت TeamPCP عن المواد المسروقة في منتديات سرية طالبةً 50,000 دولار أمريكي على الأقل.

السياق الأوسع لعام 2026: نمت الحزم الخبيثة في المستودعات العامة من 55,000 في 2022 إلى 454,600 في 2025 — ارتفاع بمعدل 8 أضعاف خلال ثلاث سنوات — مع تسارع يرتبط بإصدار GPT-4 في 2023 وما تلاه من انتشار لتوليد الحزم الخبيثة المدعوم بالذكاء الاصطناعي وفق تحليل The Hacker News.

إعلان

ما يجب على فرق الهندسة تغييره

1. تطبيق القائمة البيضاء للإضافات والمسح الآلي لبيانات الاعتماد

ينبغي للمنظمات الهندسية ذات بيئات المطورين الموحدة الانتقال من نموذج الإضافات المفتوح إلى نموذج الإضافات المُدار. يتضمن ذلك: الاحتفاظ بقائمة إضافات معتمدة، ومراجعة الموافقات الجديدة بحسب الوضع الأمني لناشر الإضافة (هل يستخدم ناشرها MFA بأجهزة؟ كم عدد المشرفين الذين يملكون صلاحية النشر؟)، ونشر مسح آلي لأنواع بيانات الاعتماد الأكثر استهدافاً: رموز GitHub ومفاتيح AWS وبيانات اعتماد السحابة.

2. تدوير بيانات الاعتماد فور أي شذوذ في تحديثات التبعيات

يُثبت هجوم Nx Console أن التحديث التلقائي بات ناقلاً للمخاطر. ينبغي لفرق الهندسة إرساء بروتوكول: أي إضافة أو حزمة npm أو تبعية تطوير تُحدَّث بصورة غير متوقعة ينبغي أن تُطلق تحقيقاً فورياً وتدويراً مؤقتاً لبيانات الاعتماد. الأولويات في التدوير: رموز الوصول الشخصية لـGitHub ذات صلاحيات الدفع، وجميع بيانات اعتماد مزودي السحابة (AWS وGCP وAzure) المخزّنة في متغيرات البيئة، وأي مفاتيح API بصلاحيات الكتابة في الإنتاج.

3. تدقيق سلسلة نشر الإضافة — لا الإضافة نفسها فحسب

حصل مهاجم Nx Console على صلاحية النشر عبر رمز مساهم مسروق من حادثة سابقة منفصلة. هذا هو مسار الدخول القياسي لهجمات سلسلة التوريد على الأدوات مفتوحة المصدر: يستهدف المهاجمون الحلقة الأضعف في سلسلة نشر المشروع، وهي في الغالب مساهم يملك صلاحيات النشر لكن ممارسات أمنية شخصية أضعف. السؤال الجوهري للتدقيق: كم شخصاً يملك القدرة على نشر إصدار جديد، وهل يمتلك كل منهم MFA بأجهزة على حسابات سجل الحزم والتحكم في المصدر؟

الدرس الهيكلي: ثقة المطور هي محيط أمني

تُمثّل حوادث Grafana وNx Console نضجاً لنموذج هجوم سلسلة التوريد. ما تغيّر هو ديمقراطية هذا الأسلوب: خسرت Trust Wallet 8.5 مليون دولار في هجوم npm Shai-Hulud في سبتمبر 2025 الذي اخترق 500+ حزمة وكشف أسرار 487 منظمة. وتضمّن حادثة ديسمبر 2025 سرقة 195 مليون سجل حكومي مكسيكي. لا تستلزم هذه الهجمات بعد اليوم تطوراً على مستوى الدول القومية — بل تستلزم تحديد حلقة ضعيفة في قناة توزيع موثوقة وتسليح علاقة الثقة تلك.

المغزى الهيكلي لأمن المؤسسات: يجب معاملة أدوات المطورين — بيئات التطوير المتكاملة (IDEs) وسجلات الحزم وخطوط أنابيب CI/CD وسجلات الحاويات — كجزء من المحيط الأمني، لا كبنية تحتية خارجه.

تابعوا AlgeriaTech على LinkedIn للتحليلات التقنية المهنية تابعوا على LinkedIn
تابعونا @AlgeriaTechNews على X للحصول على أحدث تحليلات التكنولوجيا تابعنا على X

إعلان

الأسئلة الشائعة

كيف أعرف إن كان فريقي متضرراً من هجوم إضافة Nx Console لـ VS Code؟

الإصدار الخبيث 18.95.0 من إضافة Nx Console كان متاحاً من 12:36 إلى 12:47 UTC في 18 مايو 2026. أي مطور كان لديه VS Code مفتوحاً يشغّل Nx Console خلال نافذة الـ11 دقيقة وفتح أي workspace كان متضرراً محتملاً. تحقق من تاريخ إصدار الإضافة في مدير الإضافات لديك لترى أي إصدار كان مُثبَّتاً في ذلك التاريخ. إن كنت تشغّل 18.95.0، دوّر جميع بيانات الاعتماد فوراً: رموز الوصول الشخصية لـGitHub ورموز npm وبيانات اعتماد AWS وأي مفاتيح SSH أو بيانات اعتماد 1Password مخزّنة على ذلك الجهاز.

لماذا تُعدّ إضافات VS Code هدفاً عالي القيمة للمهاجمين؟

تعمل إضافات VS Code بامتيازات العملية ذاتها للـ VS Code، التي تمتلك في الغالب وصولاً كاملاً لنظام ملفات المطور ومتغيرات البيئة وبيانات اعتماد git. إضافة واحدة يمكنها الوصول إلى رموز GitHub (التي قد تحمل صلاحيات كتابة للمستودعات أو إدارة المنظمة)، وبيانات اعتماد مزودي السحابة المخزّنة كمتغيرات بيئة، وبيانات الاعتماد في ملفات dotfiles. خلافاً لثغرات تطبيقات الويب التي تستلزم شروطاً محددة، تنفّذ الإضافة الخبيثة لـ VS Code بصورة موثوقة في كل مرة يُفتح فيها workspace.

ما TeamPCP ولماذا استهدفوا الكود المصدري لـ GitHub؟

TeamPCP (المتتبَّع أيضاً بوصفه UNC6780 من قِبل Google Threat Intelligence) مجموعة تهديد ذات دوافع مالية ناشطة في هجمات سلسلة التوريد البرمجية. استهدافهم المستودعات الداخلية لكود GitHub — نحو 3,800 مستودع تم الوصول إليها عبر سلسلة هجوم Nx Console — يُمثّل اختياراً استراتيجياً للهدف: يمكن أن يكشف الكود المصدري لـ GitHub عن ثغرات في المنصة نفسها، ويُوفّر معلومات استخباراتية حول ضوابط الأمان، أو يُستغل لبناء هجمات سلسلة توريد تستهدف GitHub Actions أو GitHub Apps. أعلنت المجموعة لاحقاً في منتديات سرية عن المواد المسروقة طالبةً 50,000 دولار أمريكي على الأقل.

المصادر والقراءات الإضافية