شفرة خبيثة على مرأى من الجميع: GlassWorm يضرب Open VSX عبر الاستيلاء على حساب ناشر

كان الأمر يسير كالمعتاد لآلاف المطورين الذين يحمّلون إضافات Visual Studio Code الموثوقة - إلى أن تسلل مفترس صامت عبر البوابات. وفي منعطف جريء جديد، تسلل الفاعلون وراء برمجية GlassWorm الخبيثة سيئة السمعة إلى سوق Open VSX عبر اختطاف حساب ناشر شرعي، مطلقين شفرة مسمومة على مستخدمين غير مرتابين ورافعين سقف المخاطر في الحرب المستمرة على سلسلة توريد البرمجيات.

حقائق سريعة

• تم تسليح أربع إضافات شائعة لـ VS Code، بإجمالي يزيد على 22,000 عملية تنزيل، بعد اختراق حساب ناشر.
• استهدفت الشفرة الخبيثة أنظمة macOS، وسرقت بيانات المتصفح ومحافظ العملات المشفرة وبيانات اعتماد المطورين.
• استخدم المهاجمون مذكرات معاملات سلسلة كتل Solana للحصول على تعليمات تحكم وقيادة ديناميكية.
• يمثل الحادث تصعيدًا: لا typosquatting ولا نسخ مقلدة - بل تم إساءة استخدام حسابات موثوقة وراسخة فقط.
• تتبّع أمن Open VSX الاختراق إلى رموز مسرّبة أو وصول غير مصرح به للنشر.

سلسلة التوريد تحت الحصار: تشريح الهجوم

في 30 يناير، أصبح نظام Open VSX - موطن إضافات Visual Studio Code مفتوحة المصدر - أحدث ساحة في أزمة أمن سلسلة التوريد. وعلى خلاف الهجمات السابقة التي اعتمدت على typosquatting (خداع المستخدمين بأسماء إضافات متشابهة) أو المستودعات المستنسخة، سلك عناصر GlassWorm طريقًا أكثر خبثًا: حصلوا على وصول إلى حساب ناشر يحظى بالاحترام، مستخدمين الثقة المتراكمة عبر عدة إضافات وآلاف التنزيلات كتمويه.

وبهذا موطئ القدم، أصدر المهاجمون تحديثات خبيثة لأربع إضافات واسعة الاستخدام. احتوى كل منها على مُحمِّل مخفي مدفون داخل ملف extension.js، صُمّم بعناية لاستهداف أجهزة macOS. وكانت أولى خطوات المُحمِّل: توصيف النظام، والتحقق من الإعدادات المحلية الروسية (وتجنبها)، ثم جلب تعليمات إضافية بهدوء كانت مضمنة داخل مذكرات معاملات العملات المشفرة على Solana - وهي تقنية جديدة تُشفّر وتُدوّر بنية التحكم والقيادة دون ترك آثار واضحة.

أما الحمولة الثانية، وهي زرعة مبنية على Node.js، فقد اتجهت مباشرة إلى موضع قاتل: ملفات تعريف الارتباط للمتصفح، وبيانات تسجيل الدخول، ومحافظ العملات المشفرة، وملفات الإعداد الحساسة مثل مفاتيح AWS وSSH. حتى Apple Notes وبيانات VPN لم تسلم. قامت البرمجية الخبيثة بحصد الملفات من مجلدات المستخدم الشائعة، وتجميعها، وإعدادها لتهريبها إلى وجهات مضمّنة مسبقًا تحت سيطرة المهاجمين.

يحذر باحثو الأمن في Socket، الذين كشفوا الاختراق، من أن هذه الحملة تمثل تصعيدًا خطيرًا. فبالاختباء خلف هوية ناشر موثوق، تجاوز المهاجمون العديد من وسائل الدفاع التقليدية وامتزجوا بسلاسة داخل سير عمل المطورين. كما يشير استخدام مُحمِّلات مشفرة تُفك شيفرتها وقت التشغيل و«مخابئ ميتة» قائمة على سلسلة الكتل لتحديثات C&C إلى مستوى جديد من التعقيد في إساءة استخدام سلسلة التوريد مفتوحة المصدر.

التداعيات الأوسع: الثقة في مرمى النيران

بينما اقتصر الاختراق على إضافات Open VSX، فإن الناشر المتأثر يحتفظ أيضًا بقوائم شائعة على Visual Studio Marketplace الرسمي - ما يرفع المخاوف بشأن مخاطر عابرة للمنصات. ويؤكد الحادث كيف يمكن لشبكة الثقة المعقدة لدى المطورين، والأتمتة، والشفرة من الأطراف الثالثة أن تصبح سلاحًا ذا حدين، إذ بات المهاجمون يسلّحون ليس الشفرة فحسب بل السمعة نفسها.

ومع استمرار تطور هجمات سلسلة التوريد، تبدو العبرة صارخة: حتى أكثر الحسابات رسوخًا ليست بمنأى. على المطورين والقائمين على المنصات البقاء يقظين، وفرض انضباط صارم في التعامل مع الرموز، وتمحيص كل تحديث - لأن الهجوم التالي قد يكون مختبئًا بالفعل على مرأى من الجميع.

WIKICROOK

• هجوم سلسلة التوريد: هجوم سلسلة التوريد هو هجوم سيبراني يساوم مزودي البرمجيات أو العتاد الموثوقين، ناشرًا برمجيات خبيثة أو ثغرات إلى العديد من المؤسسات دفعة واحدة.
• حساب ناشر: يتيح حساب الناشر للمستخدمين رفع البرمجيات أو الإضافات وإدارتها وتوزيعها بأمان على الأسواق الرقمية، وفقًا لإرشادات المنصة.
• أمر: الأمر هو تعليمات تُرسل إلى جهاز أو برنامج، غالبًا بواسطة خادم C2، لتوجيهه لتنفيذ إجراءات محددة، أحيانًا لأغراض خبيثة.
• مُحمِّل: المُحمِّل هو برمجية خبيثة تُثبّت أو تُشغّل برمجيات خبيثة أخرى على نظام مصاب، ما يتيح هجمات سيبرانية إضافية أو وصولًا غير مصرح به.
• typosquatting: typosquatting هو عندما يستخدم المهاجمون أسماءً شبيهة بأسماء مواقع أو برمجيات موثوقة لخداع المستخدمين لزيارة مواقع مزيفة أو تنزيل برمجيات خبيثة.