كشف باحثون في مجال الأمن السيبراني عن مجموعة جديدة من الإضافات المرتبطة بحملة GlassWorm، ما يشير إلى استمرار محاولات جهات التهديد استهداف منظومة Visual Studio Code (VS Code).
الإضافات الثلاث التي ما زالت متاحة للتنزيل حتى لحظة إعداد التقرير هي:
-
ai-driven-dev.ai-driven-dev بعدد تنزيلات بلغ 3,402
-
adhamu.history-in-sublime-merge بعدد تنزيلات بلغ 4,057
-
yasuyuky.transient-emacs بعدد تنزيلات بلغ 2,431
حملة GlassWorm تعود إلى الواجهة
تم توثيق حملة GlassWorm لأول مرة أواخر الشهر الماضي من قبل شركة Koi Security، وتشير إلى عملية يستغل فيها المهاجمون إضافات VS Code على Open VSX Registry وMicrosoft Extension Marketplace لسرقة بيانات اعتماد Open VSX وGitHub وGit، ونهب الأموال من 49 محفظة عملات رقمية مختلفة، إلى جانب إسقاط أدوات إضافية للوصول عن بُعد.
وتتميّز هذه البرمجية الخبيثة باستخدامها أحرف يونيكود غير مرئية لإخفاء التعليمات الضارة داخل محررات الشيفرة، واستغلال بيانات الاعتماد المسروقة لاختراق إضافات أخرى وتوسيع نطاق العدوى، في دورة ذاتية التكرار تجعلها تنتشر بأسلوب يشبه الدودة.
استجابة عاجلة ومحاولات التفادي
قالت منصة Open VSX إنها اكتشفت جميع الإضافات الخبيثة وأزالتها، مع تدوير أو إبطال الرموز المرتبطة بها اعتبارًا من 21 أكتوبر 2025. إلا أن تقريرًا حديثًا من Koi Security أظهر أن التهديد قد عاد مجددًا، مستخدمًا الأسلوب ذاته القائم على إخفاء التعليمات عبر أحرف يونيكود غير مرئية لتجاوز آليات الكشف.
وأوضح الباحثون إيدان داردكمان ويوفال رونين ولوتان سيري أن “المهاجم نشر معاملة جديدة على بلوكشين Solana تحتوي على نقطة تحكم وسيطرة (C2) محدّثة لتنزيل الحمولة التالية”، مشيرين إلى أن هذه التقنية تُظهر مدى مرونة البنية التحتية القائمة على البلوكشين، إذ يمكن للمهاجمين نشر موقع جديد للحمولة مقابل جزء من السنت، بينما تقوم الأجهزة المصابة تلقائيًا بجلب الموقع الجديد.
دلائل على هوية المهاجمين
كشف الباحثون أيضًا عن نقطة نهاية (endpoint) تم تسريبها عن طريق الخطأ من خادم المهاجم، مما أتاح الاطلاع على قائمة جزئية من الضحايا المنتشرين عبر الولايات المتحدة وأمريكا الجنوبية وأوروبا وآسيا، من بينهم جهة حكومية كبرى من الشرق الأوسط.
كما توصل التحليل إلى وجود بيانات تسجيل ضغطات المفاتيح (keylogger) على جهاز المهاجم نفسه، ما أتاح مؤشرات حول أصل التهديد. وتشير التقديرات إلى أن المهاجم ناطق بالروسية ويستخدم إطار عمل مفتوح المصدر لإدارة الأوامر عبر إضافات المتصفح يُعرف باسم RedExt.
توسع النشاط إلى GitHub
أوضحت شركة Aikido Security في تقرير حديث أن حملة GlassWorm وسّعت نشاطها لتشمل منصة GitHub، حيث يجري استغلال بيانات الاعتماد المسروقة لدفع تحديثات خبيثة (malicious commits) إلى المستودعات، ما يزيد من خطورة الحملة وانتشارها عبر سلاسل التطوير المفتوحة.
