Netcrook Logo
👤 LOGICFALCON
🗓️ 27 Apr 2026  

«النائمون الصامتون»: GlassWorm يضرب مجددًا بفخ امتدادات OpenVSX المتخفي

العنوان الفرعي: عشرات من امتدادات البرمجة التي تبدو غير ضارة تحولت إلى مركبات لتسليم البرمجيات الخبيثة في أحدث تطور لحملة GlassWorm.

عندما تُحدَّث أداة البرمجة المفضلة لديك، هل تتحقق مما تغيّر فعلاً؟ بالنسبة لمئات المطورين، لم يكن تحديثٌ حديث مجرد إصلاح لخلل - بل كان الشرارة لهجوم سيبراني خفي. عادت مجموعة GlassWorm سيئة الصيت، وهذه المرة زرعت 73 امتدادًا «نائمًا» في سوق OpenVSX، ينتظر كل واحد منها إشارة المهاجم لإطلاق البرمجيات الخبيثة.

تشريح هجوم «النائم»

GlassWorm ليس وافدًا جديدًا على ساحة الجريمة السيبرانية. رُصدت المجموعة لأول مرة في أكتوبر 2025، وسرعان ما صنعت لنفسها اسمًا عبر دسّ البرمجيات الخبيثة في سلاسل توريد البرمجيات - وغالبًا بإخفاء الشيفرة الضارة بحيل يونيكود غير مرئية. هدفهم: سرقة أكبر قدر ممكن من بيانات المطورين الحساسة والعملات المشفرة قبل أن ينتبه المدافعون.

خطوتهم الأخيرة تمثل تحولًا استراتيجيًا. فبدلًا من حشو البرمجيات الخبيثة مباشرة داخل امتدادات الشيفرة، باتت GlassWorm ترفع امتدادات تبدو حميدة تمامًا. ولا تصل الحمولة الحقيقية إلا بعد تحديث لاحق - أحيانًا بعد أسابيع أو أشهر. هذا الأسلوب الشبيه بـ«الخلايا النائمة» يمنح المهاجمين وقتًا، ويسمح لفخاخهم بالانتشار على نطاق واسع قبل أن يلاحظها أحد.

وجدت شركة الأمن Socket أن هذه الامتدادات الـ73 المارقة تكاد تكون مطابقة لامتدادات شائعة وشرعية. من الأيقونات إلى الأوصاف، صُممت لتندمج بسلاسة، مع إشارات طفيفة فقط - مثل اسم الناشر أو المعرّف الفريد - تلمّح إلى وجود تلاعب. وبمجرد تثبيتها، تعمل هذه الامتدادات كمحمّلات رفيعة: قد تجلب حزمة ثانوية من GitHub، أو تحمّل وحدات خاصة بالمنصة، أو تنشر JavaScript شديد الإخفاء يفك الترميز ويثبت برمجيات خبيثة إضافية.

الهجوم متقدم ومتعدد الطبقات. بعض المتغيرات تستخدم عناوين URL مشفرة أو احتياطية، ما يجعل جهود الإزالة أكثر صعوبة. وأخرى تعتمد على حمولات متعددة المنصات، موسعةً الشبكة لتشمل مستخدمي Windows وLinux وmacOS. وفي موجات سابقة، استهدفت برمجيات GlassWorm الخبيثة كل شيء من مفاتيح SSH إلى رموز الوصول ومحافظ العملات المشفرة.

حجم العملية هو مصدر قوتها وضعفها في آنٍ واحد. فبينما ضُربت مئات المستودعات وعشرات الامتدادات، جذبت هذه النشاطات أيضًا انتباه عدة فرق أمنية، ما أدى إلى اكتشاف سريع وإزالة العديد من القوائم الخبيثة.

ماذا ينبغي على المطورين فعله؟

إذا كنت قد ثبّتَّ أي امتدادات OpenVSX من جهات خارجية مؤخرًا، فراجع قائمة Socket المنشورة بالامتدادات المشبوهة. ويُحث المطورون على تدوير جميع الأسرار، وتنظيف بيئاتهم، والبقاء متيقظين لأي تحديثات لاحقة. هذه الحملة تذكير صارخ: هجمات سلسلة التوريد تتطور، وقد تأتي سهولة منصات مشاركة الشيفرة بمخاطر خفية.

نظرة إلى الأمام

مع صقل GlassWorm لتكتيكاتها، يصبح الخط الفاصل بين الأدوات الموثوقة والتهديدات الصامتة أرقّ من أي وقت مضى. بالنسبة لكل مطور، الآن هو الوقت لتدقيق كل تحديث - ليس فقط بحثًا عن ميزات جديدة، بل عن علامات اختراق كامنة تحت السطح.

WIKICROOK

  • هجوم سلسلة التوريد: هجوم سلسلة التوريد هو هجوم سيبراني يساوم مزودي البرمجيات أو العتاد الموثوقين، ناشرًا برمجيات خبيثة أو ثغرات إلى العديد من المؤسسات دفعة واحدة.
  • OpenVSX: OpenVSX هو سوق مفتوح المصدر حيث يمكن للمستخدمين العثور على الامتدادات ومشاركتها وتثبيتها لتعزيز محررات الشيفرة لديهم، على غرار متجر التطبيقات.
  • المحمِّل: المحمِّل هو برنامج خبيث يثبت أو يشغّل برمجيات خبيثة أخرى على نظام مصاب، ما يتيح هجمات سيبرانية إضافية أو وصولًا غير مصرح به.
  • JavaScript مُخفاة: JavaScript المُخفاة هي شيفرة تُشوَّه عمدًا لإخفاء غرضها الحقيقي، ما يجعل تحليلها أو اكتشاف التهديدات فيها صعبًا على البشر وأدوات الأمن.
  • الحمولة: الحمولة هي الجزء الضار من الهجوم السيبراني، مثل فيروس أو برنامج تجسس، يُسلَّم عبر رسائل بريد إلكتروني أو ملفات خبيثة عندما يتفاعل الضحية معها.
GlassWorm OpenVSX malware
LOGICFALCON LOGICFALCON
Log Intelligence Investigator
← Back to news