في تطور جديد يثير القلق في عالم الأمن السيبراني، كشف باحثون عن موجة متقدمة من حملة GlassWorm التي تستهدف مطوري البرمجيات عبر استغلال إضافات خبيثة في سجل Open VSX. ويصف الخبراء هذه المرحلة بأنها “تصعيد كبير” في أسلوب الانتشار، حيث لم يعد المهاجمون بحاجة إلى تضمين الشيفرة الخبيثة مباشرة داخل كل إضافة، بل أصبحوا يعتمدون على آليات extensionPack وextensionDependencies لتحويل إضافات تبدو سليمة في البداية إلى أدوات لنشر البرمجيات الضارة لاحقاً.
استغلال إضافات المطورين الشائعة
منذ 31 يناير 2026، تم رصد ما لا يقل عن 72 إضافة خبيثة تستهدف مطوري البرمجيات، متخفية خلف أدوات شائعة مثل linters وformatters ومشغلات الأكواد، إضافة إلى أدوات المساعدات البرمجية المدعومة بالذكاء الاصطناعي مثل Claude Code وGoogle Antigravity. وقد اتخذت منصة Open VSX خطوات لإزالة هذه الإضافات، إلا أن طبيعة الهجوم تكشف عن ثغرات خطيرة في سلاسل التوريد البرمجية.
خلفية عن حملة GlassWorm
حملة GlassWorm ليست جديدة؛ فقد تم رصدها لأول مرة في أكتوبر 2025 عبر إضافات خبيثة في Microsoft Visual Studio Marketplace وOpen VSX. الهدف الأساسي لهذه البرمجيات هو سرقة الأسرار الرقمية، تفريغ محافظ العملات المشفرة، واستخدام الأجهزة المصابة كوسطاء لأنشطة إجرامية أخرى. ومن أبرز سماتها أنها تتجنب إصابة الأنظمة ذات الإعدادات الروسية، وتستخدم معاملات Solana كوسيلة لاستدعاء خوادم التحكم والسيطرة (C2).
تقنيات الإخفاء والتوسع عبر المستودعات
النسخة الأخيرة من GlassWorm تتميز بقدرات إخفاء أكثر تعقيداً، مع تدوير محافظ Solana لتجنب الاكتشاف، إضافة إلى استغلال العلاقات بين الإضافات لنشر الحمولة الخبيثة. هذا الأسلوب يشبه إلى حد كبير اعتماد حزم npm على تبعيات خبيثة للتسلل دون إثارة الشكوك. وفي الوقت ذاته، أصدرت شركة Aikido تحذيراً من أن المهاجمين يوسعون نشاطهم إلى مستودعات مفتوحة المصدر عبر حقن شيفرات غير مرئية باستخدام رموز Unicode، ما يسمح بتنفيذ حمولة خفية لسرقة الرموز وكلمات المرور والأسرار.
بين 3 و9 مارس 2026، تأثر ما لا يقل عن 151 مستودعاً على GitHub بهذه التقنية، إضافة إلى حزم npm مثل @aifabrix/miso-client و@iflow-mcp/watercrawl-watercrawl-mcp. ويشير الباحثون إلى أن المهاجمين يستخدمون نماذج لغوية كبيرة لتوليد تعديلات تبدو طبيعية، مثل تحديثات الوثائق أو إصلاحات صغيرة، مما يزيد من صعوبة اكتشاف الهجمات.
جدل حول حملة PhantomRaven
في سياق متصل، أعلنت شركة Endor Labs عن اكتشاف 88 حزمة npm خبيثة جديدة بين نوفمبر 2025 وفبراير 2026، تم رفعها عبر 50 حساباً وهمياً. هذه الحزم تستهدف سرقة بيانات حساسة مثل متغيرات البيئة ورموز CI/CD وبيانات النظام. ورغم أن بعض هذه الأنشطة نُسبت إلى حملة PhantomRaven، إلا أن الجدل احتدم بعد أن ادعى أحد الباحثين الأمنيين أن الأمر كان مجرد تجربة مشروعة. غير أن Endor Labs شككت في هذا الادعاء، مشيرة إلى أن الحزم تجمع بيانات أكثر مما يلزم، وتفتقر إلى الشفافية، وتُنشر عبر حسابات وأسماء بريدية متغيرة باستمرار.
هذا الجدل يسلط الضوء على خطورة الاعتماد على التبعيات الديناميكية عن بُعد (RDD)، حيث يمكن للمهاجمين تعديل الشيفرة الخبيثة في أي وقت عبر خوادم خارجية دون الحاجة إلى إصدار نسخة جديدة من الحزمة، مما يمنحهم سيطرة كاملة على سلوكها.
