كشف باحثو الأمن السيبراني عن تطور جديد في حملة GlassWorm، حيث تم رصد امتداد خبيث في منصة Open VSX يحمل اسم “specstudio.code-wakatime-activity-tracker”، ويتظاهر بأنه أداة WakaTime الشهيرة التي تُستخدم لقياس وقت المبرمجين داخل بيئات التطوير. هذا الامتداد لم يعد متاحًا للتنزيل بعد اكتشافه، لكنه كان يحمل شفرة ثنائية مكتوبة بلغة Zig إلى جانب كود جافاسكريبت، ما سمح له بالعمل خارج بيئة الحماية الخاصة بجافاسكريبت.
آلية الإصابة واستهداف جميع الـ IDEs
الامتداد المزيف يقوم بتثبيت ملف ثنائي باسم “win.node” على أنظمة ويندوز و”mac.node” على macOS، وهو عبارة عن مكتبة مشتركة تُحمّل مباشرة في بيئة تشغيل Node.js وتعمل بصلاحيات نظام التشغيل الكاملة.
بمجرد تحميلها، تبدأ مهمتها في البحث عن جميع بيئات التطوير المثبتة على الجهاز والتي تدعم امتدادات VS Code، بما في ذلك Visual Studio Code وVS Code Insiders ونسخ أخرى مثل VSCodium وPositron، بالإضافة إلى أدوات مدعومة بالذكاء الاصطناعي مثل Cursor وWindsurf.
المرحلة الثانية: امتداد خبيث جديد
بعد تحديد بيئات التطوير، يقوم الامتداد بتنزيل ملف خبيث آخر بامتداد “.VSIX” من حساب على GitHub يسيطر عليه المهاجمون. هذا الامتداد يُسمى “floktokbok.autoimport” ويتظاهر بأنه الامتداد الشرعي “steoates.autoimport” الذي يملك أكثر من 5 ملايين تثبيت على متجر Visual Studio الرسمي.
يتم تثبيت الامتداد الجديد بصمت عبر واجهة الأوامر الخاصة بكل محرر، ليعمل كـ Dropper ينفذ مهام أكثر خطورة، منها:
- تجنب التشغيل على الأنظمة الروسية.
- التواصل مع شبكة Solana blockchain للحصول على خادم القيادة والسيطرة (C2).
- سرقة البيانات الحساسة من الجهاز.
- تثبيت حصان طروادة للتحكم عن بُعد (RAT).
- نشر امتداد خبيث لمتصفح Google Chrome متخصص في سرقة المعلومات.
تداعيات أمنية وتحذيرات للمطورين
هذا الأسلوب يعكس تطورًا خطيرًا في تكتيكات GlassWorm، حيث لم يعد يكتفي باستهداف بيئة واحدة، بل يسعى إلى إصابة جميع بيئات التطوير على الجهاز، مما يضاعف من حجم الخطر على المؤسسات والمطورين.
الباحثون ينصحون أي مستخدم قام بتثبيت الامتدادين “specstudio.code-wakatime-activity-tracker” أو “floktokbok.autoimport” باعتبار جهازه مخترقًا بالفعل، والقيام فورًا بتغيير جميع كلمات المرور والمفاتيح السرية (Secrets) المرتبطة ببيئة العمل.
