تستمر برمجية GlassWorm الخبيثة في تهديد نظام المطورين، حيث تم اكتشاف موجات جديدة من الإصابات في إضافات VS Code.
تستمر GlassWorm، وهي برمجية خبيثة ذاتية الانتشار تستهدف إضافات Visual Studio Code (VS Code) في سوق Open VSX، في التهديد على الرغم من التصريحات التي تفيد بأن الخطر قد تم احتواؤه.
أفاد باحثون في Koi Security عن اكتشافهم لGlassWorm الشهر الماضي، مشيرين إلى تعقيد الدودة ونجاحها في اختراق حوالي 35,800 جهاز مطور. تشبه البرمجية الخبيثة Shai-hulud، وهي دودة حزمة NPM تم اكتشافها في وقت سابق من هذا العام، والتي أثبتت أنها تهديد خطير لسلسلة الإمداد. تم الإبلاغ عن هذه البرمجية لأول مرة في سبتمبر، وانتشرت إلى مئات من حزم البرمجيات مفتوحة المصدر، مسروقةً بيانات الاعتماد دون الحاجة إلى تدخل كبير من المهاجمين.
حتى بالمقارنة مع Shai-hulud، يبدو أن GlassWorm تمثل تهديدًا فريدًا. انتشرت عبر سجل Open VSX، وهو سوق مفتوح لإضافات VS Code تديره مؤسسة Eclipse. استخدمت البرمجية الخبيثة أحرف يونيكود القابلة للطباعة التي لا تظهر في محرر الشيفرة، مما يجعلها غير مرئية بشكل فعال.
تستخدم GlassWorm أيضًا سلسلة الكتل Solana للقيادة والتحكم (C2)، وتقويم Google كخادم احتياطي للأوامر. بهذه الطريقة، تشبه مجموعة من التكتيكات التي ظهرت في العام الماضي.
تتعلق مقارنة GlassWorm بـ Shai-hulud أيضًا بجمع بيانات الاعتماد (NPM، GitHub، وGit)، بالإضافة إلى محافظ العملات المشفرة. كما أنها تحول أجهزة المطورين إلى بنية تحتية للقيادة والتحكم وتثبت خوادم افتراضية للوصول الكامل عن بُعد. تُستخدم بيانات الاعتماد المسروقة بعد ذلك لمزيد من الهجمات والانتشار.
في 6 نوفمبر، نشر باحثو Koi Security أبحاثًا جديدة تفيد بأن هجمات GlassWorm مستمرة، على الرغم من أن مؤسسة Eclipse قالت في منشور مدونة الشهر الماضي إن “فريق Open VSX يعتبر هذه الحادثة مغلقة تمامًا”.
تستمر اختراقات GlassWorm
اكتشف باحثو Koi Security “موجة جديدة من إصابات GlassWorm” بالإضافة إلى ثلاث إضافات مخترقة أخرى، ومعاملة جديدة على سلسلة الكتل Solana التي تؤسس نقاط C2، والبنية التحتية نفسها لمهاجم GlassWorm.
الأمر الأكثر إثارة للقلق، أن باحثي Koi Security تمكنوا من الوصول إلى خادم المهاجم ووجدوا “قائمة جزئية من الضحايا من جميع أنحاء العالم – الولايات المتحدة، أمريكا الجنوبية، أوروبا، آسيا – بما في ذلك كيان حكومي كبير من الشرق الأوسط”.
“لم يعد الأمر يتعلق بالإضافات المخترقة فقط. يتعلق الأمر بضحايا حقيقيين، وبنية تحتية حرجة في خطر، ودودة تفعل بالضبط ما حذرنا من أنها ستفعله: الانتشار عبر نظام المطورين،” قال الباحثون في التقرير. “وليس فقط Open VSX. لقد أبلغ المطورون أن GlassWorm قد انتقلت إلى مستودعات GitHub، مستخدمةً التعديلات التي تم إنشاؤها بواسطة الذكاء الاصطناعي لإخفاء حمولتها غير المرئية في ما يبدو أنه تغييرات مشروعة في الشيفرة.”
في 6 نوفمبر، وجد باحثو Koi Security ثلاث إضافات أخرى تدعى “ai-driven-dev.ai-driven-dev”، “adhamu.history-in-sublime-merge”، و”yasuyuky.transient-emacs” مصابة بـ GlassWorm، بالإضافة إلى حوالي 10,000 إصابة إضافية.
علاوة على ذلك، يبدو أن البنية التحتية للمهاجم المذكورة لم تتغير كثيرًا. “البنية التحتية التي وثقناها قبل شهر لا تزال تعمل. لا تزال تقدم الحمولات. لا تزال تجمع بيانات الاعتماد المسروقة،” قال الباحثون.
اتصلت Dark Reading بمؤسسة Eclipse للحصول على تعليق إضافي.
نتائج GlassWorm الإضافية والدروس المستفادة
تظل التهديدات لسلسلة الإمداد مفتوحة المصدر منتشرة، سواء كنت تتحدث عن ديدان سلسلة الإمداد أو برامج الفدية المشفرة.
قال باحثو Koi Security إنهم حصلوا على الوصول إلى بنية المهاجم بعد تلقي نصيحة من باحث مستقل حول نقطة نهاية مكشوفة. بعد ذلك، تمكن الفريق من استخراج بيانات من المهاجمين ووجدوا أن حملة GlassWorm استهدفت مجموعة واسعة من المنظمات حول العالم، على مستوى المطور الفردي والمنظمات. المهاجم، وفقًا للمنشور، يتحدث الروسية.
“نحن نعمل حاليًا مع وكالات إنفاذ القانون لإخطار الضحايا المتأثرين وتنسيق الجهود لإسقاط بنية المهاجم. لكن الواقع مؤلم: هذه الحملة مستمرة منذ أكثر من شهر، ولا تزال تنتشر،” قال الباحثون. “الضحايا الذين وجدناهم يمثلون فقط لقطة جزئية – ما يمكننا استخراجه من نقطة نهاية مكشوفة واحدة. من المحتمل أن يكون نطاق الاختراق الحقيقي أكبر بكثير.”
تعتبر هذه الحملة بمثابة تذكير بمدى أهمية الأمان في بيئة التطوير، حيث تظل التهديدات قائمة وتحتاج إلى مراقبة مستمرة.
