تسبب تهديد GlassWorm في المزيد من الفوضى في سلسلة التوريد، مما أثر على العديد من مكونات البرمجيات المستخدمة على نطاق واسع.
تسبب تهديد GlassWorm في المزيد من الفوضى في سلسلة التوريد، حيث تسرب إلى مكونات البرمجيات التي يستخدمها الآلاف من المستخدمين.
أفاد الباحثون من شركة Socket المتخصصة في أمان تطوير التطبيقات الأسبوع الماضي عن هجوم سلسلة توريد يتضمن إصدارات مصابة من أربعة مكونات شرعية تم توزيعها عبر سجل Open VSX.
أبلغت Socket عن الهجوم إلى Open VSX ومؤسسة Eclipse في 30 يناير، وتمت إزالة الإصدارات الضارة من كل مكون بسرعة. من الصعب تحديد عدد الضحايا الذين قد يكونوا قد تعرضوا للخطر رغم الإجراءات السريعة من جميع الأطراف المعنية. ولكن يشير مدونة Socket إلى أن أدوات FTP/SFTP/SSH Sync، أدوات I18n، mindmap في vscode، وscss إلى css “جمعت مجتمعة أكثر من 22,000 تحميل عبر Open VSX قبل الإصدارات الضارة.”
فيما يتعلق بالأصل المحتمل للتهديد، كتب كيريل بويتشينكو من Socket أن “فريق أمان Open VSX قام بتقييم النشاط على أنه متسق مع تسرب رمز أو وصول غير مصرح به”.
كان الهدف النهائي، كما هو الحال غالبًا مع هجمات سلسلة توريد تطوير التطبيقات، هو إصابة المستخدمين النهائيين بسرقات المعلومات. أصبحت هذه الطريقة اتجاهًا متزايدًا: بعض النسخ المخيفة بشكل خاص من هذا النوع من الهجمات حدثت العام الماضي مع دودة Shai-hulud ذاتية التكاثر. كما أدت سلسلة من هجمات سلسلة التوريد التي تتضمن مكونات البرمجيات الصيف الماضي إلى التزام GitHub بنظام NPM أكثر أمانًا.
استمرار GlassWorm في التقدم
تم اكتشاف برنامج GlassWorm الضار لأول مرة بواسطة Koi Security في خريف عام 2025. لاحظت الشركة الطبيعة الذاتية الانتشار للبرمجيات الضارة (على غرار Shai-hulud) ورأتها تصيب عشرات الآلاف من أجهزة المطورين.
كان المطور يقوم بتنزيل مكون مصاب، فتقوم البرمجيات الضارة بسرقة بيانات الاعتماد، ثم يستغل المهاجم الوصول إلى النشر لوضع إصدارات مصابة، مما يؤدي إلى انتشار البرمجيات الضارة بشكل أكبر. كانت أيضًا خفية ومشفرة باستخدام أحرف Unicode غير المرئية – وقد تم استبدال خدعة الأحرف غير المرئية في الإصدارات السابقة بمحملات مشفرة ومخططة في الإصدارات الحديثة.
بمجرد دخولها إلى الجهاز، سرقت GlassWorm بيانات الاعتماد مثل NPM وGitHub وGit، بالإضافة إلى محافظ العملات المشفرة. استخدمت شبكة Solana blockchain لأغراض التحكم والقيادة (C2) وكذلك تقويم Google كنسخة احتياطية. استمرت الهجمات بعيدًا عن تلك الموجة الأولية، رغم أن مؤسسة Eclipse أعلنت أن الوضع قد تم احتواؤه في ذلك الوقت.
تأخذ هذه الهجمة الأخيرة من GlassWorm التي تم تفصيلها بواسطة Socket شكلًا مشابهًا. تظل البنية التحتية المعتمدة على blockchain قائمة، كما هو الحال مع التركيز على مكونات Open VSX. استنادًا إلى الحمولة السفلية التي جمعتها Socket، تقوم البرمجيات الضارة بجمع بيانات macOS بما في ذلك بيانات امتداد المحفظة مثل MetaMask، وعائلات متعددة من متصفحات الويب، وملفات محافظ العملات المشفرة المكتبية، وقواعد بيانات Keychain، وقواعد بيانات Apple Notes، وملفات تعريف الارتباط في Safari، وتكوينات VPN، وبيانات اعتماد المطور، والعديد من المعلومات الأخرى.
كتب بويتشينكو أن هذه الحادثة تختلف عن الأنشطة السابقة لـ GlassWorm أيضًا.
“اعتمدت الموجات السابقة بشكل كبير على خداع الأخطاء والتقليد، من خلال استنساخ أو تقليد أدوات المطورين الشائعة ومحاولة الظهور كموثوق بها من خلال تضخيم أعداد التنزيلات بشكل مصطنع”، كما جاء في المدونة. “على النقيض من ذلك، تم نشر هذه الإضافات الأربعة تحت حساب ناشر معروف له تاريخ متعدد من الإضافات وإشارات اعتماد ذات مغزى عبر الأنظمة البيئية.”
تتضمن مدونة Socket مؤشرات على التهديدات للمستخدمين.
كيفية القضاء على GlassWorm
بالنسبة للمنظمات، فإن خطر شيء كهذا واضح، خاصة وأن العديد من قطع البرمجيات تستخدم العشرات من المكونات مفتوحة المصدر (على الأقل). يمكن أن تتعرض GlassWorm لحسابات المطورين، وسرقة محتويات ومحافظ العملات المشفرة، وحتى اختراق مثيلات السحابة عبر بيانات اعتماد AWS التي قد تكون على جهاز الضحية.
يجب على المنظمات التي قامت بتنزيل إضافة مصابة تغيير بيانات الاعتماد، خاصة تلك المرتبطة بحسابات المطور أو السحابة. يجب عليهم أيضًا تدقيق النشاط الأخير على GitHub والتحقق من تكوينات CI ووظائف الإصدار الخاصة بهم بحثًا عن أي تلاعب محتمل.
“إذا قمت بتثبيت أي إضافة مدرجة في قسم IOC، اعتبرها حدث تعرض لبيانات الاعتماد. قم بإزالة الإضافة وحذف آثارها على القرص”، كتب بويتشينكو. “على نظام macOS، تحقق من الاستمرارية تحت ~/Library/LaunchAgents، بما في ذلك ملفات plist غير المألوفة مثل com.user.nodestart.plist، واستقصاء المسارات المشبوهة التي تشير إلى /tmp/ijewf أو /tmp/out.zip.”
تواصلت Dark Reading مع Socket للحصول على مزيد من المعلومات.
تأكد من اتخاذ التدابير اللازمة لحماية أنظمتك من تهديدات البرمجيات الضارة مثل GlassWorm.
