انتشرت برمجية خبيثة من نوع “GlassWorm” عبر سوق OpenVSX، مستهدفةً بيئات تطوير البرمجيات المتعددة، بما في ذلك VS Code، Cursor، و Windsurf. وقد تم اكتشاف هذه الهجمة مؤخراً عبر إضافة مزيفة انتشرت كأداة إنتاجية، مستفيدة من ثغرات تقنية لتلويث أجهزة المطورين.
تُعرف برمجية GlassWorm بأنها تهديد قديم، حيث ظهرت لأول مرة في مارس 2025، وكانت تخفي حمولات خبيثة ضمن أحرف قراءة غير مرئية داخل حزم npm. وعلى مدار العام الماضي، شهدت الحملة نمواً مستمراً، مخترقةً المئات من المشاريع على منصات مثل GitHub و npm و VS Code.
فحوى هجمة GlassWorm الجديدة على بيئات التطوير
وكشفت شركة Aikido للأمن السيبراني، التي تتابع حملة GlassWorm منذ أكثر من عام، عن التقنية الحديثة المستخدمة في أبريل 2026. تم اكتشاف الهجوم مخبأً داخل إضافة OpenVSX المسماة code-wakatime-activity-tracker، والتي نُشرت تحت حساب specstudio.
على السطح، تبدو هذه الإضافة مطابقة تماماً لأداة WakaTime الإنتاجية الحقيقية، حيث تعرض خيارات الأوامر نفسها، وطلبات مفاتيح API، وأيقونات شريط الحالة المألوفة للمطورين. ومع ذلك، فإن جوهر الهجوم يكمن في الاستعانة بملفات ثنائية أصلية تم تجميعها باستخدام لغة Zig.
تعمل هذه الملفات الثنائية، مثل win.node على نظام ويندوز أو mac.node على نظام ماك، خارج نطاق الحماية التقليدية للصناديق الرملية، وتحظى بالقدرة الكاملة على الوصول إلى نظام التشغيل. وهذا يسمح لها بتنفيذ الإجراءات الخبيثة دون الكشف عنها.
آلية العدوى المتعددة البيئات
تتفوق هجمة GlassWorm الحالية على الإصدارات السابقة في قدرتها على إصابة بيئات تطوير متعددة دفعة واحدة. فبمجرد تشغيل الملف الثنائي الخبيث، يقوم بمسح الجهاز بحثاً عن أي بيئة تطوير متكاملة (IDE) تدعم صيغة إضافات VS Code، بما في ذلك VS Code، و Cursor، و Windsurf، وغيرها. وبعد ذلك، يقوم بتثبيت إضافة خبيثة صامتة في كل منها، حتى لو كان المستخدم يستخدم أكثر من بيئة تطوير واحدة.
تبدأ العدوى لحظة قيام المطور بتثبيت الإضافة المزيفة code-wakatime-activity-tracker. يتم تعديل دالة activate() داخل الإضافة، والتي يفترض بها تشغيل أداة WakaTime، بشكل سري من قبل المهاجم. قبل أن يبدأ أي كود شرعي لجهاز WakaTime بالعمل، يتم تحميل الملف الثنائي الأصلي win.node أو mac.node من مجلد ./bin/ الخاص بالإضافة، ويتم استدعاء دالة install() فوراً. هذه الخطوة الوحيدة تشغل جميع الإجراءات اللاحقة.
يقوم الملف الثنائي الأصلي بعد ذلك بالاتصال بصفحة GitHub Releases التي يتحكم بها المهاجم، وتنزيل ملف .vsix خبيث باسم autoimport-2.7.9. هذه الحزمة مصممة لتبدو وكأنها steoates.autoimport، وهي إضافة VS Code شائعة يستخدمها الملايين من المطورين. وبمجرد تنزيلها، يتم تثبيتها صامتةً وبقوة في كل بيئة تطوير تم اكتشافها على الجهاز، وذلك باستخدام المثبت الخاص بكل محرر.
بعد اكتمال التثبيت، يتم حذف الملف الذي تم تنزيله لإزالة أي أثر له. وتُعد الإضافة في المرحلة الثانية مكاناً لبرمجية GlassWorm نفسها، وهي نفس البرمجية التي قامت Aikido بتحليلها طوال فترة الحملة. تتجنب هذه البرمجية التنفيذ على الأجهزة التي تستخدم إعدادات نظام روسية، مما يشير إلى اختيار متعمد من مؤلفيها. وبمجرد تفعيلها، تقوم بالاتصال بخادم القيادة والتحكم الذي يعمل عبر سلسلة كتل سولانا، مما يجعل من الصعب على فرق الأمن حظرها أو مراقبتها.
تقوم البرمجية الخبيثة بعد ذلك باستخلاص البيانات بهدوء من الجهاز المصاب، وتثبيت حصان طروادة للوصول عن بعد (RAT) بشكل دائم، بالإضافة إلى تثبيت إضافة Chrome خبيثة. ننصح المطورين بفحص قوائم إضافات بيئات التطوير الخاصة بهم فوراً بحثاً عن specstudio/code-wakatime-activity-tracker و floktokbok.autoimport. إذا ظهر أي منهما في أي محرر مثبت، فيجب التعامل مع الجهاز على أنه مخترق بالكامل.
ويجب على المطورين تدوير جميع بيانات الاعتماد، ومفاتيح API، والأسرار المخزنة التي يمكن الوصول إليها من تلك البيئة فوراً. كما ينبغي مراجعة أي مستودعات تعليمات برمجية متصلة بالجهاز المتأثر بحثاً عن علامات التلاعب، حيث كان المهاجم يمتلك وصولاً كاملاً للنظام خلال فترة الإصابة.