تحذير: حملة "Glassworm" تستهدف مطوري VS Code وسرقة العملات المشفرة بـ 24 إضافة خبيثة
حملة Glassworm الخبيثة: استهداف مطوري VS Code ومستخدمي العملات المشفرة
تتجدد حملة البرمجيات الخبيثة "Glassworm": مع ظهور 24 إضافة جديدة تستهدف بيئة تطوير Visual Studio Code (VS Code). يستهدف هذا الهجوم المطورين ومستخدمي العملات المشفرة. فبمجرد تثبيت هذه الإضافات الضارة على أنظمة Windows، تقوم بزرع برنامج Lumma Stealer، وهو برنامج خبيث متخصص في سرقة المعلومات والبيانات الحساسة.
تنتشر هذه الإضافات الخبيثة: عبر منصتي OpenVSX وMicrosoft Visual Studio Marketplace، وهما سوقان رئيسيان لتوزيع إضافات بيئة التطوير. يُعد Visual Studio Marketplace مملوكًا لشركة Microsoft ويُستخدم لإضافات Visual Studio وVS Code. أما Open VSX Registry، فهو بديل مفتوح المصدر ومحايد للموردين، ومصمم لدعم المحررات المتوافقة مع VS Code مثل Eclipse Theia، Gitpod، وSAP Business Application Studio، وغيرها.
تكتيكات Glassworm المتقدمة وسرقة البيانات
كشفت الأبحاث الأمنية المستمرة: عن هذه الإضافات الضارة، ومع كل عملية إزالة، تظهر إصدارات جديدة. تستغل هذه الهجمات تقنيات متطورة مثل أحرف Unicode غير المرئية لإخفاء البرمجيات الخبيثة لسرقة المعلومات. هذه الأحرف تبدو كمساحات فارغة للعين البشرية ولبرامج تحرير الأكواد، لكنها تحتوي على تعليمات برمجية خبيثة قابلة للتنفيذ مما يجعلها تختفي حرفيًا من برامج تحرير الأكواد. تهدف الحملة إلى الاستيلاء على بيانات اعتماد حسابات GitHub وnpm وOpenVSX، ومن ثم محاولة سحب الرموز المميزة (tokens) والأصول الرقمية القيمة من 49 محفظة عملات مشفرة تابعة لمتصفحات الويب.
آليات الانتشار والتحكم المخفية
بالإضافة إلى ذلك: تقوم هذه البرمجيات الخبيثة بنشر عميل HVNC (Hidden Virtual Network Computing) للوصول الخفي عن بُعد، والذي يسمح للمهاجمين بالتحكم في الأنظمة المصابة دون أن يلاحظ المستخدمون ذلك. كما تنشر وكيل SOCKS لتوجيه حركة المرور الضارة. وقد رصد محللو الأمن في Secure Annex هذا الهجوم الجديد، مشيرين إلى أنه يستهدف مجموعة واسعة من أدوات وأطر عمل المطورين الشائعة مثل Flutter، Vim، Yaml، Tailwind، Svelte، React Native، وVue. يُعد الوحدة النهائية للبرمجيات الخبيثة ZOMBI، وهي شيفرة JavaScript مشوشة للغاية تحول محطات عمل المطورين المصابة إلى عقد ضمن شبكة بنية تحتية إجرامية. تستخدم حملة GlassWorm سلسلة كتل Solana كبنية تحتية للقيادة والتحكم (C2)، مما يجعلها مقاومة لعمليات الإزالة نظرًا لطبيعتها اللامركزية وغير القابلة للتغيير. وتُستخدم خوادم Google Calendar الاحتياطية أيضًا كجزء من بنية C2 التحتية.
جهود Microsoft وتوصيات الأمن
تدرك Microsoft: خطورة هذه الهجمات، وتعمل جاهدة لتعزيز الدفاعات والأمان على مستودع إضافات Visual Studio الشهير. تشجع الشركة المستخدمين على الإبلاغ الفوري عن أي محتوى أو سلوك مشبوه من خلال رابط "Report Abuse" المتاح في كل صفحة إضافة.
