تأثير واسع النطاق: اختراق إضافات VSX الموثوقة يكشف عن تهديد GlassWorm الجديد للمطورين
كشفت حملة تجسس إلكتروني متطورة، تورط فيها برنامج GlassWorm الخبيث، عن تغلغل ملحوظ في سجل Open VSX Registry. تمكن المهاجمون من تحويل إضافات VSX شهيرة، والتي يعتمد عليها آلاف المطورين، إلى أدوات لنشر برمجيات خبيثة. جاء هذا الاختراق عبر استغلال حساب ناشر موثوق، بهدف استهداف المطورين وسلسلة إمدادهم البرمجية.
وفقاً لتحليلات أجرتها شركة Socket.dev، تم اختراق حساب الناشر “oorzc” على سجل Open VSX Registry. قامت الجهات الخبيثة بنشر تحديثات مُعدلة لهذه الإضافات، والتي اعتُبرت تبدو كإصدارات روتينية وطبيعية. هذه الإضافات، التي بلغ إجمالي تنزيلاتها أكثر من 22,000 مرة، كانت تُستخدم في مهام يومية للمطورين مثل مزامنة الملفات، إدارة التدويل، رسم الخرائط الذهنية، وسير عمل CSS.
GlassWorm يطور أساليبه: هجوم على سلسلة الإمداد البرمجية
يشير هذا التطور إلى أن GlassWorm قد ارتقى بأساليبه في الهجوم. فبدلاً من الاعتماد على إنشاء مشاريع وهمية أو مستنسخة، اختار المهاجمون التخفي داخل إضافات حقيقية وذات تاريخ استخدام طويل ومشروع. هذا التغيير في الاستراتيجية يجعل الكشف عن التهديدات أكثر صعوبة باستخدام الأساليب التقليدية.
تتركز البرمجيات الخبيثة التي ينشرها GlassWorm بشكل كبير على أنظمة macOS. تقوم هذه البرمجيات بسرقة بيانات المتصفحات، محافظ العملات المشفرة، والملفات الحساسة. بالإضافة إلى ذلك، تستهدف البرمجيات مواد المطورين الهامة مثل مفاتيح SSH، بيانات اعتماد AWS، ورموز GitHub أو npm، مما يزيد من حجم الضرر المحتمل.
من السرقة البسيطة إلى الوصول العميق لسلسلة الإمداد
يُمثل الانتقال من مجرد سرقة البيانات إلى الحصول على وصول عميق لسلسلة الإمداد البرمجية نقلة في مستوى الخطر. أصبح بإمكان جهاز مطور واحد تم اختراقه أن يصبح نقطة انطلاق للوصول إلى البيئات السحابية وخطوط التكامل المستمر (CI pipelines).
تفاصيل التقنية للحملة
تم تحديد الإضافات المخترقة ضمن مساحة اسم “oorzc” على سجل Open VSX Registry. هذه الإضافات تشمل:”FTP/SFTP/SSH Sync Tool”، “I18n Tools”، “vscode mindmap”، و”scss to css”. ووفقاً للملاحظات، بدت هذه الإضافات طبيعية تماماً للمستخدم العادي، مما يعكس صعوبة اكتشاف مثل هذه التهديدات بالعين المجردة.
تتضمن آلية عمل GlassWorm في هذه الحملة سلسلة تنفيذ مُرحلة. يتم في المرحلة الأولى فك تشفير وتشغيل حمولة مُضمنة. تقوم هذه الحمولة بتحديد خصائص النظام المستهدف، وتتجنب الأنظمة ذات اللغة الروسية. بعد ذلك، تقوم الحمولة باسترجاع تعليمات القيادة والتحكم التالية من مذكرات معاملات Solana.
أما المرحلة النهائية، والتي تستهدف macOS بشكل خاص، فتتضمن جمع بيانات الاعتماد، مساحات التخزين (keychains)، والمستندات. يتم ضغط هذه البيانات في أرشيف ثم نقلها إلى بنية تحتية يتحكم بها المهاجمون. ولضمان استمرارية عمل البرنامج الخبيث، يتم إنشاء إدخال LaunchAgent للمساعدة في بقاء البرنامج وتمريره عبر عمليات إعادة التشغيل.
أكد فريق أمن Open VSX على تأكيد الاختراق، وتمت إزالة الإصدارات الخبيثة وإلغاء رموز الناشر. ومع ذلك، فإن النافذة الزمنية التي استغرقها الكشف عن التهديد كانت كافية لإثارة قلق بالغ بشأن سرقة بيانات الاعتماد وإمكانية إساءة استخدامها لاحقاً.