حملة GlassWorm تعود بامتداد خبيث يستهدف بيئات التطوير، ويستخدم دروبر Zig لاختراق أدوات المبرمجين، وفقاً لمتابعات تيكبامين.
لماذا عادت حملة GlassWorm لاستهداف المطورين؟
الهجوم الجديد يركز على امتداد في Open VSX باسم specstudio.code-wakatime-activity-tracker ينتحل WakaTime الشهير. الامتداد يبدو طبيعياً لكنه يتضمن تغييراً حساساً داخل دالة التفعيل في VS Code.
كيف تم تمويه الامتداد؟
التحايل يعتمد على شحن ملف ثنائي مكتوب بـ Zig بجانب كود JavaScript. هذا الملف يعمل خارج صندوق الأمان الخاص بـ Node.js ويمنح المهاجم صلاحيات نظام كاملة.
- تثبيت ملف win.node على ويندوز.
- تثبيت ملف mac.node كملف Mach-O شامل على macOS.
- تشغيل الكود الثنائي كإضافة أصلية لـ Node.js.
هذه الخطوة تجعل الدروبر أكثر خفاءً لأن التحليل التقليدي للامتدادات لا يكشف سلوك الملف الثنائي بسهولة.
كيف يعمل دروبر Zig داخل VS Code؟
بعد التحميل، يبحث الدروبر عن كل IDE يدعم امتدادات VS Code. الهدف هو نشر نفس الحمولة على أكبر عدد من بيئات التطوير في الجهاز.
- Microsoft VS Code ونسخة Insiders.
- VSCodium وPositron.
- أدوات برمجة مدعومة بالذكاء الاصطناعي مثل Cursor وWindsurf.
ما هي المرحلة الثانية في الهجوم؟
الدروبر يقوم بتنزيل امتداد خبيث بامتداد .VSIX من حساب GitHub مملوك للمهاجم. الامتداد ينتحل steoates.autoimport الشهير ويُثبت بصمت عبر واجهة CLI الخاصة بكل محرر.
- تنزيل ملف .VSIX إلى مسار مؤقت.
- تثبيت الامتداد على كل IDE تم العثور عليه.
- تشغيل مرحلة ثانية تعمل كقاطرة لبرمجيات إضافية.
ما المخاطر على بيانات المطورين؟
المرحلة الثانية تتجنب التشغيل على الأنظمة الروسية، ثم تتصل بسلسلة Solana لجلب خادم التحكم. بعدها تبدأ عملية جمع البيانات الحساسة وتثبيت RAT للتحكم عن بعد.
- سحب رموز الدخول وملفات الإعدادات.
- جمع معلومات المستودعات ومسارات المشاريع.
- زرع إضافة خبيثة على Chrome لسرقة بيانات التصفح.
هذا السيناريو يهدد حسابات Git والمفاتيح السرية الخاصة بالبناء والنشر، ما يجعل الضرر يتجاوز الجهاز إلى بيئة العمل بأكملها.
كيف تحمي نفسك من حملة GlassWorm؟
الحماية تبدأ بمراجعة الامتدادات المثبتة والتحقق من مصادرها. كما يوصي خبراء أمنيون بفحص الملفات الثنائية المصاحبة لأي امتداد مشكوك فيه.
- إزالة الامتداد المشتبه به فوراً.
- تفعيل التحديثات الأمنية لـ VS Code وملحقاته.
- مراجعة صلاحيات الإضافات وتقييد الوصول للنظام.
- استخدام أدوات فحص البرمجيات الخبيثة على بيئة التطوير.
وتؤكد تيكبامين أن متابعة تحديثات الأمان أصبحت ضرورة يومية، خصوصاً مع تصاعد حملة GlassWorm واستهدافها المباشر للمطورين.
