إسقاط بنية GlassWorm يوقف هجمات سلسلة التوريد ضد المطورين

إسقاط بنية GlassWorm يوقف هجمات سلسلة التوريد ضد المطورين
إسقاط بنية GlassWorm يوقف هجمات سلسلة التوريد ضد المطورين
شارك هذا الخبر

أعلنت شركات CrowdStrike وGoogle وShadowserver Foundation عن عملية منسقة نجحت في تعطيل جميع قنوات التحكم والسيطرة (C2) المرتبطة ببرمجية GlassWorm، وهي حملة خبيثة استهدفت المطورين عبر حزم وإضافات مزيفة بهدف شن هجمات على سلسلة التوريد البرمجية.

خلفية الحملة

منذ أوائل عام 2025، ركّز مشغلو GlassWorm على استهداف المطورين الذين يمتلكون وصولاً إلى مستودعات الشيفرة المصدرية، منصات السحابة، خطوط CI/CD، وسجلات الحزم. هذا النوع من الاستهداف يجعل من جهاز واحد مخترق نقطة انطلاق لإصابة آلاف المؤسسات والمستخدمين downstream.
الحملة استخدمت إضافات مزيفة لبرنامج VS Code نُشرت على متجر Microsoft VS Code Marketplace وكذلك على Open VSX، ما سمح باستهداف مستخدمي نسخ VS Code المتفرعة مثل Cursor وPositron وWindsurf وVSCodium. كما تضمنت إدخال شيفرات خبيثة في حزم npm وPython.

قدرات GlassWorm

الهدف النهائي كان نشر إطار عمل لسرقة البيانات يتضمن:

  • جمع بيانات الاعتماد مثل رموز GitHub وNPM وOpenVSX.
  • سرقة محافظ العملات الرقمية.
  • تجميع معلومات النظام.

كما استخدم نسخة RAT مبنية على JavaScript تُعرف بـ GlassWormRAT عبر Websocket، قادرة على سرقة بيانات المتصفح وتشغيل أوامر عشوائية، بما في ذلك تثبيت إضافة خبيثة على Chrome لجمع لقطات الشاشة وضربات المفاتيح ومحتوى الحافظة.

تحويل الأجهزة إلى بنية تحتية خفية

الأجهزة المصابة تحولت إلى بنية تحتية سرية عبر:

  • خوادم SOCKS Proxy.
  • خوادم HVNC.
  • عُقد تنفيذ عبر WebRTC وNode.js.

هذا مكّن المهاجمين من الوصول المجهول إلى الشبكات المؤسسية والشخصية، ونشر الهجمات بشكل أوسع.

قنوات التحكم والسيطرة (C2)

ما جعل GlassWorm مميزاً هو اعتماده على أربع قنوات C2 مختلفة لتعزيز المرونة:

  • استخدام بلوك تشين Solana لتخزين عناوين الخوادم في حقول المعاملات.
  • استعلام شبكة BitTorrent DHT للحصول على بيانات التهيئة.
  • استغلال Google Calendar كخدمة لإخفاء عناوين الخوادم في عناوين الأحداث.
  • الاتصال المباشر بخوادم VPS تجارية.

هذه الطبقات المتعددة صُممت لتصعيب عمليات الإزالة، لكن العملية الأخيرة نجحت في تعطيلها جميعاً بشكل متزامن.

هوية المهاجمين وأثر العملية

تشير التحليلات إلى أن مشغلي GlassWorm على الأرجح مجرمون إلكترونيون من روسيا، حيث يتوقف البرنامج عن العمل على أنظمة في دول رابطة الدول المستقلة (CIS) ويحتوي على تعليقات برمجية باللغة الروسية.
العملية أدت إلى تعطيل أكثر من 300 مستودع GitHub تم تسميمه باستخدام بيانات اعتماد مسروقة، وأوقفت قدرة البرمجية على تلقي أوامر جديدة.

وسوم
محمد طاهر
محمد طاهر
المقالات: 1592

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة