تفكيك جلاس وورم: ضربة قوية للهجمات التي تستهدف المطورين

تفكيك البنية التحتية لبرمجية جلاس وورم الخبيثة يمثل ضربة قوية لهجمات سلاسل التوريد التي استهدفت المطورين عالميًا لسرقة البيانات والرموز البرمجية.

في تعاون أمني دولي، أعلنت شركات كبرى متخصصة في الأمن الرقمي عن نجاحها في تعطيل كافة قنوات التحكم والسيطرة المرتبطة ببرمجية GlassWorm. هذه الحملة المستمرة استهدفت مطوري البرمجيات بشكل منهجي منذ بداية عام 2025 عبر حزم برمجية وإضافات خبيثة.

ما هي برمجية جلاس وورم وكيف تهدد أمن المطورين؟

تعتبر برمجية جلاس وورم (GlassWorm) من أخطر التهديدات الحالية لأنها لا تستهدف المستخدم العادي، بل تركز على المطورين الذين يمتلكون وصولاً حساساً إلى مستودعات الأكواد، المنصات السحابية، وخطوط إنتاج البرمجيات (CI/CD pipelines). وحسب تقرير تيكبامين، فإن اختراق جهاز مطور واحد قد يؤدي إلى التأثير على آلاف المنظمات والمستخدمين في وقت واحد.

كيف يتم اختراق أنظمة المطورين عبر GlassWorm؟

استخدم المهاجمون استراتيجية "الهجوم متعدد المحاور" للوصول إلى ضحاياهم، حيث تضمنت الوسائل ما يلي:

• نشر إضافات ملغومة لبرنامج VS Code على متاجر Microsoft و Open VSX.
• استهداف مستخدمي نسخ VS Code المعدلة مثل Cursor و Windsurf و VSCodium.
• حقن أكواد خبيثة في حزم لغات البرمجة الشهيرة مثل npm و Python.
• تسميم أكثر من 300 مستودع على منصة GitHub باستخدام بيانات اعتماد مسروقة.

ما هي الأهداف النهائية لهجمات جلاس وورم؟

الهدف الأساسي من هذه الهجمات هو سرقة البيانات الحساسة وتحويل أجهزة المطورين إلى بنية تحتية سرية للمهاجمين. وتشمل قدرات البرمجية الخبيثة GlassWormRAT ما يلي:

• سرقة بيانات الاعتماد: استخراج مفاتيح الوصول لمنصات GitHub و NPM ومحافظ العملات الرقمية.
• التجسس الشامل: التقاط صور للشاشة، تسجيل ضربات المفاتيح، ومراقبة الحافظة (Clipboard).
• التحكم عن بُعد: تحويل الأجهزة إلى خوادم وكيلة (SOCKS proxies) أو خوادم VNC مخفية للوصول إلى الشبكات الشركاتية.
• تثبيت إضافات خبيثة: زرع إضافات في متصفح جوجل كروم (Google Chrome) لجمع مزيد من البيانات.

كيف نجحت عملية التفكيك في تعطيل المهاجمين؟

ما جعل عملية جلاس وورم معقدة هو استخدامها لأربع قنوات تحكم مختلفة لضمان صمودها أمام المحاولات الأمنية التقليدية. ومع ذلك، نجح الشركاء الأمنيون في تعطيل هذه القنوات بشكل متزامن، مما قطع الاتصال بين الأجهزة المصابة والمهاجمين، وهو ما يعتبره خبراء تيكبامين خطوة حاسمة لحماية مجتمع المطورين.

تؤكد هذه الواقعة على ضرورة توخي الحذر الشديد عند تحميل الإضافات البرمجية أو استخدام الحزم الخارجية، حيث أصبح المطورون اليوم خط الدفاع الأول (أو الثغرة الأولى) في أمن المؤسسات الكبرى، مما يتطلب تدقيقاً أمنياً مستمراً لكافة الأدوات المستخدمة في بيئة التطوير.