كشف باحثو الأمن السيبراني عن تطور جديد في حملة GlassWorm، حيث باتت البرمجية الخبيثة تعتمد على إطار متعدد المراحل قادر على سرقة البيانات بشكل شامل وتنصيب برمجية وصول عن بُعد (RAT). هذه البرمجية تقوم بتثبيت إضافة خبيثة لمتصفح Google Chrome تتخفى في صورة نسخة غير متصلة من Google Docs، وتعمل على تسجيل ضغطات المفاتيح، استخراج الكوكيز والرموز الجلسية، التقاط صور للشاشة، وتنفيذ أوامر من خادم تحكم مخفي داخل معاملات بلوكتشين سولانا.
مراحل الاختراق وسرقة البيانات
تبدأ الحملة عبر حزم مزورة منشورة في منصات npm وPyPI وGitHub وOpen VSX، إضافة إلى اختراق حسابات مطوري المشاريع لدفع تحديثات مسمومة. المرحلة الثانية تتضمن إطاراً لسرقة البيانات، يشمل جمع بيانات الاعتماد، استخراج محافظ العملات الرقمية، وتحليل النظام. يتم ضغط البيانات في ملف ZIP وإرسالها إلى خادم خارجي. بعد ذلك، يتم جلب مكونات إضافية: ملف ثنائي .NET يستهدف محافظ الأجهزة مثل Ledger وTrezor عبر نوافذ تصيّد تعرض رسائل خطأ مزيفة وتطلب إدخال عبارة الاستعادة المكونة من 24 كلمة، إضافة إلى برمجية RAT مبنية على JavaScript تعمل عبر Websocket لسحب بيانات المتصفح وتنفيذ تعليمات برمجية.
قدرات RAT وإضافة المتصفح الخبيثة
البرمجية RAT تستخدم جداول التجزئة الموزعة (DHT) للحصول على تفاصيل خادم التحكم، وفي حال الفشل تنتقل إلى آلية سولانا. من بين أوامرها: تشغيل وإيقاف وحدة HVNC للوصول عن بُعد، تشغيل وحدة SOCKS عبر WebRTC، سرقة بيانات المتصفحات (Chrome، Edge، Brave، Opera، Vivaldi، Firefox)، إرسال معلومات النظام، وتنفيذ تعليمات JavaScript. كما تقوم بإجبار النظام على تثبيت إضافة Chrome باسم “Google Docs Offline”، والتي تجمع الكوكيز، محتوى الحافظة، شجرة DOM كاملة، سجل التصفح حتى 5000 إدخال، وقائمة الإضافات المثبتة. الإضافة تستهدف مواقع محددة مسبقاً مثل منصة Bybit، حيث تراقب الكوكيز الخاصة بالرموز الآمنة ومعرف الجهاز، وترسلها إلى خادم المهاجم.
توسع الحملة إلى بيئة MCP
أحدث الاكتشافات تشير إلى أن GlassWorm بدأت في نشر حزم npm تنتحل خادم MCP الخاص بـ WaterCrawl، وهو أول دخول مؤكد للحملة إلى بيئة MCP. الباحثون يحذرون من أن هذا التوجه سيستمر مع نمو تطوير البرمجيات بمساعدة الذكاء الاصطناعي، حيث يُمنح خوادم MCP ثقة كبيرة بحكم التصميم. لذلك يُنصح المطورون بتوخي الحذر عند تثبيت إضافات Open VSX أو حزم npm أو خوادم MCP، والتحقق من أسماء الناشرين وسجلات الحزم وعدم الاعتماد على أعداد التنزيل فقط. في هذا السياق، أطلقت شركة الأمن البولندية AFINE أداة مفتوحة المصدر باسم “glassworm-hunter” لفحص أنظمة المطورين بحثاً عن الحمولة المرتبطة بالحملة، وتعمل الأداة محلياً دون أي اتصالات شبكية أو إرسال بيانات.
