شهدت الساحة السيبرانية ظهور موجة جديدة من برمجية GlassWorm الخبيثة، والتي استهدفت هذه المرة أنظمة macOS بدلاً من Windows، مثيرةً قلقاً كبيراً لدى المستخدمين. تنتشر هذه البرمجية المتوالدة ذاتياً عبر إضافات ضارة لبرنامج VS Code متاحة على متجر Open VSX، وقد تجاوز عدد تنزيلاتها 50 ألفاً.
تتميز الموجة الرابعة بتطورات مقلقة تشمل حمولات مشفرة، وقدرات على اختراق محافظ الأجهزة، وتقنيات متقدمة لتجاوز بيئات العزل (Sandbox)، مما يجعل اكتشافها عبر أدوات الأمان التقليدية أمراً صعباً.
الحملة الخبيثة GlassWorm تستهدف مستخدمي macOS عبر إضافات VS Code
يواصل الفاعل السيبراني المسؤول عن GlassWorm إظهار مرونة لافتة، حيث تطورت برمجياته عبر أربع موجات مميزة منذ شهر أكتوبر. في السابق، اعتمدت الهجمات على استخدام أحرف يونيكود غير مرئية وملفات Rust مجمعة لإخفاء الشفرة الخبيثة.
ومع ذلك، تتخلى الموجة الأحدث عن هذه الأساليب لصالح حمولات JavaScript مشفرة بـ AES-256-CBC، مصممة خصيصاً لبيئات macOS.
إضافات مشبوهة والبنية التحتية اللامركزية
تم رصد ثلاث إضافات مشبوهة على متجر Open VSX، وهي: pro-svelte-extension، و vsce-prettier-pro، و full-access-catppuccin-pro-extension. ترتبط هذه الإضافات ببعضها البعض عبر بنية تحتية مشتركة ومفاتيح تشفير متطابقة.
تعتمد البرمجية الخبيثة على بنية تحتية للقيادة والتحكم (Command and Control) مبنية على بلوكتشين سولانا، مما يجعل جهود تعطيلها شبه مستحيلة. عبر نشر مذكرات المعاملات (Transaction Memos) التي تحتوي على عناوين URL مشفرة بـ Base64 على البلوكتشين، يحتفظ المهاجم بالسيطرة اللامركزية.
وقد قام باحثون بتتبع هذه البنية التحتية إلى عنوان IP 45.32.151.157، والذي تم استخدامه أيضاً في الموجة الثالثة، مما يؤكد استمرارية الفاعل السيبراني.
تقنيات الحمولة المشفرة وتجاوز SandboX
تقدم الموجة الرابعة آلية توقيت ذكية مصممة لتجنب التحليل الأمني الآلي. بمجرد تثبيت الإضافة الضارة، تنتظر 15 دقيقة بالضبط قبل تنفيذ حمولتها. هذا التأخير حاسم، حيث غالباً ما تنتهي صلاحية بيئات العزل الآلية بعد 5 دقائق، مما يجعل البرمجية تبدو بريئة تماماً أثناء الفحص الآلي.
تحتوي الشفرة على قيمة ثابتة تمثل 900 ألف ملي ثانية (15 دقيقة)، والتي تؤدي إلى فك تشفير وتنفيذ الحمولة المشفرة بـ AES-256-CBC.
تُضمن الحمولة نفسها في السطر 64 من ملف الإضافة الرئيسي، وهي مشفرة باستخدام مفتاح متجه تهيئة ثابتين. يؤكد هذا البنية التحتية المشتركة للتشفير أن فاعلًا سيبرانياً واحداً مسؤول عن الحملة.
بعد انتهاء فترة الانتظار، تستدعي البرمجية الخبيثة نقطة نهاية القيادة والتحكم الحالية من بلوكتشين سولانا وتنفذ أي تعليمات تتلقاها.
تشمل الحمولة المصممة لـ macOS استخدام AppleScript للتنفيذ الخفي، و LaunchAgents للمحافظة على الاستمرارية، والوصول المباشر إلى قاعدة بيانات macOS Keychain لاستعادة كلمات المرور وبيانات الاعتماد المخزنة.
تتضمن البرمجية الخبيثة أيضاً القدرة على استبدال تطبيقات محافظ الأجهزة بنسخ معدلة، مستهدفةً كل من Ledger Live و Trezor Suite. على الرغم من أن وظيفة استبدال المحفظة لم تكن نشطة بالكامل أثناء الاختبارات، إلا أن بنية الشفرة مكتملة وتنتظر تحميل الحمولات.
تتحقق البرمجية الخبيثة من أن الملفات التي تم تنزيلها تتجاوز 1000 بايت قبل التثبيت، مما يمنع عمليات التثبيت المعطلة التي قد تنبه الضحايا. يتم تجميع جميع البيانات المسروقة في الدليل المؤقت /tmp/ijewf/، وضغطها، وإرسالها إلى خادم الاستخلاص على 45.32.150.251/p2p لاستلامها من قبل المهاجم.