كشف باحثون في الأمن السيبراني تفاصيل هجوم جديد على سلسلة التوريد استهدف سجل Open VSX، حيث تمكنت جهات تهديد مجهولة من اختراق حساب مطوّر شرعي واستخدامه لنشر تحديثات خبيثة وصلت إلى آلاف المستخدمين.
الهجوم الذي وقع في 30 يناير 2026، بحسب تقرير شركة Socket Security، استغل بيانات اعتماد النشر الخاصة بالمطوّر المعروف باسم oorzc، ليقوم المهاجمون بحقن برمجيات خبيثة ضمن أربع إضافات شائعة كانت قد جمعت أكثر من 22 ألف عملية تنزيل قبل التلاعب بها. هذه الإضافات تضمنت أدوات للمزامنة عبر بروتوكولات FTP/SFTP/SSH، وأدوات الترجمة الدولية، وأداة لرسم الخرائط الذهنية، وأداة لتحويل ملفات SCSS إلى CSS.
خلفيات تقنية للهجوم
النسخ المسمومة من هذه الإضافات حملت محمّل برمجيات خبيثة يُعرف باسم GlassWorm، وهو مصمم لفك تشفير وتشغيل مكونات خبيثة أثناء وقت التشغيل. ويعتمد على تقنية متقدمة تُسمى EtherHiding لإخفاء عناوين خوادم التحكم والسيطرة (C2)، مما يمنح المهاجمين قدرة أكبر على التملص من أدوات الكشف التقليدية.
البرمجية تستهدف بشكل خاص أنظمة macOS، حيث تعمل على سرقة بيانات الاعتماد وكلمات المرور، إضافة إلى محافظ العملات الرقمية. ومن اللافت أن البرمجية تتجنب التنفيذ إذا اكتشفت أن الجهاز يعمل في بيئة روسية، وهو سلوك شائع بين برمجيات مرتبطة بجهات تهديد ناطقة بالروسية لتفادي الملاحقة القضائية المحلية.
البيانات المستهدفة
الهجوم لم يقتصر على سرقة كلمات المرور فحسب، بل شمل نطاقاً واسعاً من البيانات الحساسة، منها:
- بيانات من متصفحات Firefox وChromium (تسجيلات الدخول، الكوكيز، سجل التصفح، وإضافات المحافظ مثل MetaMask).
- ملفات محافظ العملات الرقمية مثل Electrum وExodus وLedger Live وTrezor Suite وغيرها.
- قاعدة بيانات iCloud Keychain وملفات Safari Cookies.
- ملاحظات Apple Notes ووثائق المستخدم من مجلدات سطح المكتب والتنزيلات.
- ملفات إعدادات VPN الخاصة بـ FortiClient.
- بيانات اعتماد المطوّرين مثل مفاتيح AWS وSSH.
هذا الاستهداف لمعلومات المطوّرين يرفع مستوى الخطورة، إذ يفتح الباب أمام اختراق حسابات سحابية مؤسسية والتحرك الأفقي داخل بيئات الشركات، مما يهدد البنية التحتية الرقمية بشكل مباشر.
أسلوب جديد في حملة GlassWorm
ما يميز هذا الهجوم عن الحملات السابقة هو اعتماده على حساب مطوّر شرعي لنشر البرمجيات الخبيثة، بدلاً من أساليب تقليدية مثل typosquatting أو brandjacking. هذا التكتيك سمح للمهاجمين بالاندماج في سير العمل الطبيعي للمطوّرين، وإخفاء التنفيذ خلف محمّلات مشفرة تُفك أثناء التشغيل، مع استخدام مذكرات شبكة Solana كوسيلة ديناميكية لتبديل البنية التحتية دون الحاجة لإعادة نشر الإضافات.
هذه الاستراتيجية تقلل من قيمة المؤشرات الثابتة، وتجعل الدفاع أكثر اعتماداً على الكشف السلوكي والاستجابة السريعة.
التحديثات والإجراءات
بحسب الباحث John Tuckner من Secure Annex، كانت ثلاث إضافات خبيثة لا تزال متاحة للتنزيل حتى صباح 2 فبراير 2026، قبل أن يتم حذفها لاحقاً من منصة Open VSX. ومع ذلك، تبقى المشكلة قائمة لأن الإضافات المحذوفة لا تُزال تلقائياً من بيئات التطوير، ما يعني أن الضحايا سيضطرون لانتظار إصدار المطوّر الشرعي نسخة أحدث لتفعيل التحديث التلقائي.
