تُشكل حملات البرمجيات الخبيثة المستهدفة لبيئات التطوير تحدياً متزايداً، وقد عادت مؤخراً حملة “Glassworm” بأسلوب جديد متطور، حيث تم اكتشاف 24 حزمة خبيثة جديدة تستهدف منصتي Microsoft Visual Studio Marketplace و OpenVSX، مما يثير قلق المطورين والشركات حول العالم.
هذه الموجة الجديدة من الهجمات تؤكد على المخاطر الكبيرة التي تشكلها التهديدات الناجمة عن اختراق سلاسل التوريد، خصوصاً عند استهداف الأدوات التي يعتمد عليها المطورون بشكل يومي.
تعتمد البرمجيات الخبيثة هذه على استنساخ حزم ومكونات إضافية شرعية تحظى بشعبية واسعة، تستهدف أطر عمل معروفة مثل Flutter و Tailwind و Vim و Yaml و Svelte و React Native و Vue. هذا التشابه يجعل من الصعب على المطورين تمييز الحزم الزائفة عن الأصلية.
تستغل هذه الهجمات الثقة التي يضعها المطورون في أسواق الحزم الإضافية، حيث تبدأ بنشر حزم تبدو شرعية وتجتاز مراجعات الأمان الأولية.
تطور آلية هجمات Glassworm
بعد الموافقة، تبدأ الحزم الخبيثة في تلقي تحديثات تتضمن شيفرات برمجية ضارة مخفية، مما يسمح للمهاجمين بتجاوز عوامل التصفية الأمنية الحالية. وقد حدد باحثو الأمن في Secure Annex أن هذه الحزم تستخدم تقنيات متقدمة للتلاعب بأعداد التنزيلات وتضخيم إحصائيات التثبيت بشكل مصطنع، مما يضعها بجوار الحزم الشرعية داخل واجهة بيئة التطوير المتكاملة.
هذا التكتيك الهندسي الاجتماعي يجعل من الصعب على المستخدمين تحديد الحزمة الصحيحة عند التثبيت. وينطوي ذلك على مخاطر كبيرة على سلامة الأنظمة والبيانات.
آلية الإصابة وتطورها
تبدأ عملية الإصابة عندما يقوم المطورون بتثبيت ما يبدو أنه حزمة إضافية شرعية من السوق. ينشط الحمل الخبيث فور تحميل الحزمة في بيئة التطوير.
بمجرد التنشيط، تقوم الشيفرة بتنفيذ “زرعات” (implants) خبيثة كانت مخفية مسبقاً داخل الحزمة. وهذا يسمح للمهاجمين بالوصول إلى المعلومات الحساسة.
لقد تطورت تكتيكات التهرب التي يستخدمها المهاجمون بشكل كبير، حيث انتقلوا من استخدام أحرف يونيكود غير مرئية في الإصدارات السابقة إلى استخدام زرعات مبنية بلغة Rust ومدمجة مباشرة في الحزم الإضافية. وهذا يجعل اكتشافها أكثر صعوبة.
عندما تنشط الحزمة الإضافية، تقوم بتشغيل الشيفرة الخبيثة ضمن سياق نظام المطور، مما يمنح المهاجمين إمكانية الوصول إلى معلومات حساسة مثل متغيرات البيئة، ورموز المصادقة، وشيفرات المصدر للمشاريع.
تقنيات الإخفاء المتطورة المستخدمة تجعل من الصعب اكتشاف التهديدات دون أدوات تحليل أمني متخصصة. لاحظ محللو Secure Annex وجود توقيعات وأنماط هجوم متسقة عبر الحملات، مما يربط بين التقنيات المختلفة رغم تطورها.
اكتشف الباحثون أن العديد من الحزم الإضافية تستمر في تنفيذ عملياتها مع التلاعب بإحصاءات التنزيلات لبناء المصداقية قبل النشر النهائي.
تشمل الحزم المخترقة المحددة كلاً من المنصتين، ومن الأمثلة البارزة: prisma-inc.prisma-studio-assistance، و prettier-vsc.vsce-prettier، و flutter-extension التي تم اكتشافها على كلا المنصتين.
تواجه المؤسسات التي تستخدم هذه الحزم الإضافية خطراً كبيراً يتمثل في الوصول غير المصرح به إلى الأنظمة وسرقة البيانات.
يوصي خبراء الأمن بشدة بمراجعة الحزم المثبتة فوراً وتنفيذ حلول لمسح أسواق الحزم للكشف عن التهديدات ومنع الاختراقات المستقبلية.
تابعونا على Google News، LinkedIn، و X للحصول على المزيد من التحديثات الفورية، عينوا CSN كمصدر مفضل لديكم في Google.