كشف باحثون أمنيون عن هجوم معقد لسلاسل التوريد استهدف سجل Open VSX، حيث استغل المهاجمون حسابات مطورين موثوقة لنشر تحديثات مفخخة ببرمجية GlassWorm الخبيثة، مما يعرض آلاف المستخدمين للخطر.
في تطور أمني خطير، تعرضت أربع إضافات برمجية راسخة للمطور المعروف باسم "oorzc" للتلاعب في 30 يناير 2026. تضمنت النسخ الجديدة برمجية تحميل خبيثة، رغم أن هذه الإضافات كانت تُعتبر أدوات موثوقة للمطورين وحققت أكثر من 22,000 عملية تنزيل قبل الحادثة.
كيف تم اختراق إضافات Open VSX الموثوقة؟
أكدت التقارير الأمنية أن الهجوم اعتمد على اختراق بيانات اعتماد النشر الخاصة بالمطور. ويرجح فريق الأمن في Open VSX أن القراصنة استخدموا رمز وصول (Token) مسرب أو حصلوا على وصول غير مصرح به للحساب لنشر النسخ الملغومة.
وبحسب متابعة تيكبامين للحدث، فقد تم حذف النسخ الضارة فور اكتشافها، لكن الحادث يسلط الضوء على خطورة الهجمات التي تستغل ثقة المستخدمين في المطورين المعروفين.
ما هي قدرات برمجية GlassWorm ولماذا هي خطيرة؟
صُممت النسخ المسمومة لتوصيل برمجية تحميل (Loader) مرتبطة بحملة GlassWorm السيبرانية. تتميز هذه البرمجية بقدرات متقدمة تشمل:
- فك تشفير وتشغيل الأكواد الخبيثة في وقت التشغيل (Runtime).
- استخدام تقنية "EtherHiding" المتطورة للاتصال بخوادم التحكم والقيادة (C2).
- استهداف وسرقة بيانات اعتماد نظام macOS.
- سرقة بيانات محافظ العملات الرقمية.
من المثير للاهتمام أن البرمجية تقوم بفحص لغة الجهاز الضحية قبل البدء بنشاطها؛ فإذا اكتشفت أن النظام يعمل بإعدادات محلية روسية، فإنها تتوقف عن العمل، وهو تكتيك شائع لدى مجموعات القرصنة الناطقة بالروسية لتجنب الملاحقة القانونية المحلية.
ما هي البيانات الحساسة المستهدفة؟
يشكل هذا الهجوم تهديداً مباشراً لبيئات التطوير في الشركات، حيث تسعى البرمجية للوصول إلى بيانات بالغة الحساسية، تشمل:
- فحص ملفات تكوين npm لاستخراج رموز المصادقة (_authToken).
- الوصول إلى بيانات اعتماد GitHub المخزنة.
- سرقة أسرار التكامل المستمر (CI Secrets).
- السيطرة على أدوات أتمتة الإصدارات والوصول للمستودعات الخاصة.
يعتبر هذا التحول في تكتيكات GlassWorm مقلقاً للغاية، حيث انتقل المهاجمون من استخدام مؤشرات سابقة معروفة إلى اختراق حسابات مطورين شرعيين لتوزيع برمجياتهم، مما يجعل اكتشاف التهديد أكثر صعوبة على أنظمة الحماية التقليدية.
