حقائق سريعة

• حملة GlassWorm ضربت مجددًا، وأطلقت 24 إضافة مزيفة في الأسواق الرئيسية.
• استهدفت الحملة أدوات شهيرة مثل Flutter وReact وVim، مخدعة آلاف المطورين.
• تستخدم البرمجيات الخبيثة بلوكتشين Solana وتقويم Google لإخفاء أوامر التحكم.
• غرسات مبنية بلغة Rust تتيح للمهاجمين السيطرة على أجهزة Windows وmacOS.
• يقوم المهاجمون بتضخيم أعداد التنزيلات لزيادة مصداقية وظهور أدواتهم المزيفة.

عودة تهديد متغير الشكل

تخيل أنك تفتح صندوق أدواتك المفضل لتجد أن مفك البراغي الموثوق قد استُبدل بأداة لفتح الأقفال. هذه هي الحقيقة المرعبة التي يواجهها المطورون حول العالم مع عودة GlassWorm، الحملة الإجرامية السيبرانية سيئة السمعة، بقوة أكبر. في خطة متقنة، أطلق المهاجمون 24 إضافة خبيثة على كل من سوق Microsoft Visual Studio وOpen VSX، مموهين شيفرتهم كأدوات مطورين شهيرة مثل Flutter وReact.

ظهر اسم GlassWorm لأول مرة في أواخر عام 2025، عندما كشف الباحثون عن استخدامها الماكر لبلوكتشين Solana لنقل الأوامر - وهي حيلة جعلت عملياتها شبه غير مرئية لأدوات الأمن التقليدية. كان طابع الحملة تحويل أجهزة المطورين اليومية إلى منصات انطلاق لهجمات أوسع، مستنزفة محافظ العملات الرقمية وسارقة بيانات الاعتماد الحساسة في الطريق. الآن، وعلى الرغم من الجهود المستمرة للتنظيف، عادت GlassWorm أكثر دهاءً وانتشارًا من أي وقت مضى.

كيف مر الهجوم دون أن يُكتشف

الموجة الأخيرة من GlassWorm، التي كشفها جون تاكنر من Secure Annex، شهدت انتحال المهاجمين لهوية إضافات موثوقة مثل “prisma-studio-assistance” و“vscode-vim”. بمجرد الموافقة على الإضافة - وهي عملية غالبًا ما تركز على الشيفرة الأولية وليس التحديثات - يدفع المهاجمون نسخًا خبيثة جديدة تتجاوز الفلاتر بهدوء. ولتعزيز مصداقيتهم، يقومون بتضخيم أرقام التنزيلات بشكل مصطنع، لتظهر هذه الإضافات المزيفة بجانب الأدوات الأصلية في نتائج البحث.

ولا يتوقف السحر التقني عند هذا الحد. تخفي البرمجيات الخبيثة غرسات مبنية بلغة Rust - واحدة لنظام Windows وأخرى لنظام macOS - داخل ملفات الإضافة. تقوم هذه الغرسات بهدوء بجلب أوامر التحكم والسيطرة (C2) من مصادر غامضة: إما محفظة بلوكتشين Solana أو، كخطة احتياطية، حدث في تقويم Google. بمجرد التثبيت، تقوم الغرسات بتنزيل حمولات مشفرة إضافية، مانحة المهاجمين السيطرة الكاملة على الجهاز المصاب.

هجمات سلسلة التوريد: هل أصبحت الوضع الطبيعي الجديد؟

قصة GlassWorm ليست حدثًا منفردًا. فقد شهدت السنوات الأخيرة تصاعدًا في هجمات سلسلة التوريد، من اختراق SolarWinds الشهير إلى اختراق حزم npm. القاسم المشترك: يستهدف المهاجمون الأدوات والاعتمادات التي يثق بها المطورون، محولين سلسلة توريد البرمجيات إلى قناة للاختراق الجماعي. في حالة GlassWorm، التأثير المتسلسل أكثر خطورة - حيث تُستخدم بيانات الاعتماد المسروقة لإصابة المزيد من الحزم، ناشرة البرمجيات الخبيثة الشبيهة بالدودة عبر نظام رقمي واسع.

وبينما تسعى أسواق الشيفرات لتعزيز عمليات التدقيق والمراقبة، تبقى هذه الحادثة تحذيرًا صارخًا: حتى أكثر المنصات شهرة ليست محصنة. يجب على المطورين البقاء يقظين، والتحقق المزدوج من مصادر الإضافات ومراقبة أي سلوك مريب - لأن نقرة واحدة فقط في عالم البرمجيات قد تفتح الباب لسرقة رقمية.

ويكيكروك

• هجوم سلسلة التوريد: هجوم سلسلة التوريد هو هجوم إلكتروني يستهدف مزودي البرمجيات أو الأجهزة الموثوقين، وينشر البرمجيات الخبيثة أو الثغرات إلى العديد من المؤسسات دفعة واحدة.
• سوق الإضافات: سوق الإضافات هو متجر إلكتروني يمكن للمستخدمين من خلاله العثور على إضافات وتثبيتها لتوسيع ميزات تطبيقاتهم البرمجية.
• أمر: الأمر هو تعليمات تُرسل إلى جهاز أو برنامج، غالبًا من خادم C2، لتوجيهه للقيام بإجراءات محددة، أحيانًا لأغراض خبيثة.
• Rust: Rust هي لغة برمجة حديثة تركز على الأمان والسرعة، وتساعد المطورين على تجنب الأخطاء الشائعة وكتابة شيفرة آمنة وموثوقة.
• جمع بيانات الاعتماد: جمع بيانات الاعتماد هو سرقة تفاصيل تسجيل الدخول، مثل أسماء المستخدمين وكلمات المرور، غالبًا عبر مواقع مزيفة أو رسائل بريد إلكتروني خادعة.