كشفت شركة StepSecurity أن حملة GlassWorm الأخيرة تستهدف مشاريع بايثون عبر استغلال رموز وصول مسروقة من GitHub، حيث يقوم المهاجمون بحقن شيفرات خبيثة في ملفات مثل setup.py وmain.py وapp.py. أي مستخدم يقوم بتنفيذ pip install من مستودع مصاب أو تشغيل الكود بعد استنساخه سيفعّل البرمجية الخبيثة.
الهجوم يعتمد على تقنية ForceMemo التي تقوم بإعادة بناء تاريخ المستودع (rebase) مع الاحتفاظ برسائل المؤلف الأصلية، ثم دفع التغييرات بالقوة إلى الفرع الرئيسي، مما يخفي أثر الحقن عن واجهة GitHub.
خطوات الهجوم
- إصابة أنظمة المطورين عبر إضافات خبيثة لـ VS Code وCursor، حيث يحتوي GlassWorm على مكون مخصص لسرقة الرموز السرية مثل رموز GitHub.
- استخدام الرموز المسروقة لدفع تغييرات خبيثة إلى جميع المستودعات المرتبطة بالحساب المخترق.
- إضافة حمولة مشفرة بـ Base64 إلى ملفات بايثون، مع آلية لتجاوز التنفيذ إذا كان النظام مضبوطاً على اللغة الروسية.
- استدعاء عنوان محفظة Solana للحصول على رابط الحمولة، ثم تنزيل برمجيات إضافية مثل سكربتات JavaScript مشفرة لسرقة العملات الرقمية والبيانات.
البنية التحتية والانتشار
التحقيقات أظهرت أن أول معاملة على عنوان التحكم المرتبط بـ GlassWorm تعود إلى نوفمبر 2025، أي قبل ثلاثة أشهر من أول حقن في مستودعات GitHub. المهاجمون يقومون بتحديث روابط الحمولة بشكل يومي تقريباً.
كما رصدت Socket نسخة جديدة من GlassWorm تستخدم آلية extensionPack وextensionDependencies لتوزيع الحمولة عبر نموذج توزيع انتقالي، مما يزيد من قدرة البرمجية على البقاء والتخفي.
في الوقت نفسه، نسبت Aikido Security الحملة إلى المهاجم نفسه بعد أن اكتشفت أكثر من 151 مستودعاً مخترقاً يحتوي على شيفرات مخفية باستخدام رموز يونيكود غير مرئية.
توسع الحملة إلى npm
لم تقتصر الهجمات على مستودعات بايثون؛ فقد تم رصد اختراق حزمتين من React Native على npm هما:
- react-native-international-phone-number الإصدار 0.11.8
- react-native-country-select الإصدار 0.3.91
هذه الإصدارات الخبيثة تضمنت preinstall hook يستدعي سكربت JavaScript مشفر، يتجاوز الضحايا الروس، ويتصل بمحفظة Solana أخرى مرتبطة بـ GlassWorm للحصول على رابط الحمولة. يتم تنفيذ الحمولة بالكامل في الذاكرة عبر eval() على macOS/Linux أو عبر Node.js vm.Script على الأنظمة الأخرى، مع آلية قفل تمنع إعادة التنفيذ خلال 48 ساعة على نفس الجهاز.
دلالات أمنية
الاعتماد على تقنية force-push لإعادة كتابة تاريخ المستودع دون ترك أثر في واجهة GitHub يمثل أسلوباً غير مسبوق في حملات سلسلة التوريد البرمجية. هذا التطور يؤكد أن المهاجمين يوسّعون نطاقهم من إضافات VS Code إلى الاستيلاء على حسابات GitHub وnpm، مع استخدام بنية تحتية موحدة عبر محافظ Solana لتنسيق الهجمات.
