Netcrook Logo
👤 LOGICFALCON
🗓️ 06 Jan 2026  

من مساعد إلى سطو: إضافات VS Code خبيثة تستهدف مطوري macOS بهدوء

العنوان الفرعي: سلالة جديدة من الإضافات الخبيثة تسرق بيانات مطوري macOS بعد أن تتربص، كاشفةً ثغرة كبيرة في أدوات البرمجة الموثوقة.

تخيل هذا: أنت منغمس في تدفق البرمجة، تعمل حتى وقت متأخر من الليل على جهاز Mac. تثبّت إضافة إنتاجية جديدة تبدو واعدة لمحررك المفضل، Visual Studio Code. تعمل كما هو متوقع - إلى أن، بعد خمس عشرة دقيقة، تسرق بهدوء كلمات مرورك، وتفرغ محافظك المشفرة، وتختفي دون أثر. مرحبًا بك في الواقع الجديد لمبرمجي macOS “vibe coders” - مطوّرون عصريون ومنتجون باتوا الآن هدفًا لحملة برمجيات خبيثة ماكرة تختبئ على مرأى من الجميع.

حقائق سريعة

  • إضافات خبيثة على سوق Open VSX تستهدف مطوري macOS الذين يستخدمون Visual Studio Code وتفرعاته.
  • ينتظر المهاجمون 15 دقيقة بعد التثبيت قبل تفعيل البرمجية الخبيثة، متجنبين معظم صناديق الرمل الأمنية.
  • الحملة، التي أُطلق عليها اسم “GlassWorm”، أصابت آلاف الأجهزة خلال ما يزيد قليلًا على شهرين.
  • استهدفت إصدارات GlassWorm السابقة نظام Windows؛ أما الموجة الأخيرة فمحسّنة لـ macOS وتستخدم تمويهًا متقدمًا.
  • تشمل البيانات المسروقة كلمات المرور والعملات المشفرة ومعلومات المطورين الحساسة.

تشريح عملية سطو متخفية

تحوّل سوق Open VSX، وهو مصدر موثوق لملايين المطورين الباحثين عن ميزات جديدة وتعزيزات للإنتاجية، إلى نقطة الصفر لتهديد متطور. وقد كشف خبراء الأمن في Koi Security عن الموجة الرابعة من “GlassWorm”، وهي حملة برمجيات خبيثة ذاتية الانتشار تتنكر بإتقان على هيئة أدوات تطوير مفيدة.

وعلى خلاف البرمجيات الخبيثة المعتادة التي تضرب بسرعة، تكمن حيلة GlassWorm في صبرها. فبعد أن يثبت المطور إضافة مصابة، يبقى الكود الخبيث خاملاً لنحو 15 دقيقة، أي بعد مدة تتجاوز بكثير الدقائق القليلة التي تراقب خلالها معظم صناديق الرمل الأمنية الآلية البرامج الجديدة. يتيح هذا التأخير الزمني للبرمجية الخبيثة الإفلات من الرصد والتفعيل فقط عندما تعتقد أن لا أحد يراقب.

وبمجرد تشغيلها، ينطلق كود الهجوم - المخفي الآن والمشفّر داخل ملفات JavaScript - إلى العمل. فيجمع معلومات حساسة، بما في ذلك كلمات المرور ورموز المصادقة وحتى تفاصيل محافظ العملات المشفرة. ثم تُهرَّب البيانات المسروقة إلى الخارج، تاركة الضحية غير مدركة لما حدث إلى أن تُخترق حساباتها أو تختفي أصولها الرقمية.

وتتميّز هذه النسخة الأحدث من GlassWorm بتحولها في التركيز. فقد استهدفت الإصدارات السابقة أنظمة Windows، لكن مؤلفي البرمجية الخبيثة صقلوا الآن تكتيكاتهم لـ macOS، مستغلين شعبية تفرعات VS Code مثل Cursor بين المطورين العصريين المهووسين بالإنتاجية. ويتجلى التعقيد التقني للمهاجمين بوضوح: فهم لا يكتفون بتجنب الكشف، بل يستخدمون أيضًا التشفير وتمويهًا معقدًا لجعل التحليل الجنائي صعبًا.

وعلى الرغم من الإزالة السريعة لهذه الإضافات الخبيثة فور اكتشافها، فقد وقع الضرر بالفعل لآلاف المطورين. تكشف الحادثة عن نقطة عمياء كبيرة في منظومة الإضافات المفتوحة، حيث يمكن تسليح الثقة والراحة من قبل مجرمي الإنترنت.

الخلاصة: ثق، لكن تحقّق

حملة GlassWorm جرس إنذار للمطورين في كل مكان. فكلما أصبحت الأدوات التي نعتمد عليها أكثر انفتاحًا وتعاونًا، ازدادت قابليتها للاستغلال. وفي عصر يمكن فيه لإضافة واحدة أن تساوم بيئة تطوير كاملة، يصدق المثل القديم: ثق، لكن تحقّق دائمًا. في المرة القادمة التي تثبّت فيها “معززًا للإنتاجية”، تذكّر - أحيانًا تكون كلفة الراحة هي أمنك.

WIKICROOK

  • Open VSX: Open VSX هو سوق مفتوح المصدر لإضافات Visual Studio Code، تديره مؤسسة Eclipse لدعم تطوير يقوده المجتمع.
  • Sandbox: صندوق الرمل هو بيئة آمنة ومعزولة يحلل فيها الخبراء الملفات أو البرامج المشبوهة بأمان دون تعريض الأنظمة أو البيانات الحقيقية للخطر.
  • Obfuscation: التمويه هو ممارسة إخفاء الكود أو البيانات لجعل فهمها أو تحليلها أو اكتشافها صعبًا على البشر أو أدوات الأمن.
  • Exfiltration: تهريب البيانات هو النقل غير المصرح به للبيانات الحساسة من شبكة الضحية إلى نظام خارجي يسيطر عليه المهاجمون.
  • Authentication Token: رمز المصادقة هو مفتاح رقمي يثبت هويتك للتطبيقات أو الخدمات، ما يتيح وصولًا آمنًا دون إعادة إدخال كلمة المرور.
malicious plugins macOS developers GlassWorm
LOGICFALCON LOGICFALCON
Log Intelligence Investigator
← Back to news