كشف تقرير أمني عن تفاصيل هجوم GlassWorm الخطير الذي يستهدف منصة جيت هاب، حيث يزرع برمجيات خبيثة داخل مشاريع بايثون لسرقة البيانات.
كيف يعمل هجوم GlassWorm على منصة جيت هاب؟
تعتمد حملة البرمجيات الخبيثة الجديدة على استغلال رموز الوصول المسروقة من منصة جيت هاب. يقوم المهاجمون بحقن أكواد ضارة في مئات المستودعات البرمجية المعتمدة على لغة بايثون والتي يستخدمها آلاف المبرمجين حول العالم.
وبمجرد وصول المهاجمين إلى حسابات المطورين، يقومون بتعديل الملفات الأساسية ورفعها بالقوة. والأخطر من ذلك هو احتفاظهم ببيانات التوثيق الأصلية مثل اسم المؤلف وتاريخ التعديل، مما يجعل اكتشاف الاختراق أمراً في غاية الصعوبة ضمن بيئات العمل المعقدة.
مراحل تنفيذ هجوم ForceMemo
أطلق خبراء الأمن السيبراني اسم ForceMemo على هذا الفرع الجديد والمتقدم من الهجوم. وتتم عملية الاختراق المعقدة عبر الخطوات المتتالية التالية:
- سرقة رموز الوصول الخاصة بحسابات المطورين المستهدفين.
- إضافة أكواد مبهمة ومعقدة إلى ملفات النظام الرئيسية مثل setup.py و main.py.
- إعادة بناء السجل البرمجي لتجنب كشف التلاعب من قبل المراجعين.
- تجاوز واجهة طلبات السحب (Pull Requests) لضمان السرية التامة أثناء الحقن.
ما هي مشاريع بايثون المستهدفة من الاختراق؟
يركز المهاجمون بشكل مكثف على المشاريع مفتوحة المصدر التي تحظى بشعبية واسعة بين المطورين. وأي شخص يقوم بتشغيل أمر التثبيت المعتاد من مستودع مصاب سيتعرض جهازه أو خادمه للاختراق الفوري والمباشر.
وفقاً لمتابعة تيكبامين المستمرة للتهديدات السيبرانية، تشمل قائمة المشاريع والتطبيقات الأكثر عرضة لهذا الخطر الكارثي ما يلي:
- تطبيقات وإطارات عمل Django الشهيرة في تطوير الويب.
- أكواد وخوارزميات أبحاث تعلم الآلة (ML) والذكاء الاصطناعي.
- لوحات التحكم التفاعلية المبنية باستخدام منصة Streamlit.
- حزم ومكتبات PyPI البرمجية المتنوعة التي يعتمد عليها الملايين.
كيف تطورت البرمجيات الخبيثة للهروب من الرقابة؟
أظهرت التحليلات التقنية أن الخوادم المستخدمة في إدارة هذا الهجوم بدأت نشاطها منذ أواخر عام 2025. بينما بدأت عمليات الحقن الفعلية في مستودعات جيت هاب مؤخراً، مع قيام المهاجمون بتحديث الروابط الخبيثة عدة مرات يومياً لضمان استمرار الاتصال.
كما تم رصد تطوير مستمر لأساليب التخفي وتجاوز الحماية، حيث استخدم القراصنة حروفاً غير مرئية لإخفاء الأكواد الخبيثة عن أعين المراجعين. علاوة على ذلك، تم الاعتماد على محفظة رقمية مشفرة لتلقي التعليمات وإدارة الهجمات المتتالية في موجات منظمة.
نموذج التوزيع غير المباشر للبرمجيات
لضمان بقاء البرمجيات الخبيثة لأطول فترة ممكنة، اعتمدت حملة GlassWorm على نموذج التوزيع غير المباشر. يتم ذلك من خلال استغلال حزم التبعيات والإضافات البرمجية لتمرير الأكواد الضارة بسلاسة إلى الأجهزة النهائية للمستخدمين.
في البداية، كان المهاجمون يستهدفون إضافات محرر الأكواد فقط. ولكنهم وسعوا نشاطهم مؤخراً ليشمل السيطرة الكاملة على حسابات المطورين، مما أدى إلى إصابة سلاسل التوريد البرمجية بالكامل.
ما هي خطورة تقنيات تعديل السجل البرمجي؟
تكمن الخطورة الحقيقية لهذا الهجوم في قدرته الفائقة على التلاعب بالسجلات والتاريخ البرمجي للمشاريع. هذه التقنية تكسر الثقة الأساسية التي يعتمد عليها المطورون عند استيراد المكتبات الخارجية أو تحديث الأنظمة.
وكما يؤكد فريق تيكبامين، فإن هذا الأسلوب الفريد في تعديل سجلات المنصة دون ترك أي أثر واضح في واجهة المستخدم، يمثل تحدياً غير مسبوق لفرق الأمن الرقمي. يتطلب هذا الوضع تفعيل سياسات صارمة لحماية الرموز السرية ومراجعة الأكواد بشكل آلي ودقيق.
كيف يمكن للمطورين حماية مشاريعهم من الهجوم؟
لمواجهة هذا التهديد المتصاعد، يجب على فرق التطوير اتخاذ إجراءات استباقية صارمة لحماية سلاسل التوريد البرمجية الخاصة بهم.
لضمان أمان المستودعات البرمجية وتجنب الوقوع ضحية لحملة البرمجيات الخبيثة الجديدة، نوصي باتباع الخطوات الأمنية التالية:
- تفعيل المصادقة الثنائية لجميع حسابات المطورين.
- تقييد صلاحيات رموز الوصول وتحديد مدة صلاحيتها.
- فحص مكتبات بايثون باستخدام أدوات الأمان المتخصصة قبل التثبيت.
- مراقبة التعديلات المفاجئة في فروع المستودعات الأساسية بانتظام.
