تخطى إلى المحتوى الرئيسي
شارك

تفكيك شبكة GlassWorm الخبيثة بعد استهدافها 300 مستودع GitHub

فريق جلتش29 مايو0 مشاهدة5 دقائق
شارك
تفكيك شبكة GlassWorm الخبيثة بعد استهدافها 300 مستودع GitHub

تفكيك البنية التحتية لبرمجية GlassWorm الخبيثة في عملية أمنية منسقة. استهدفت هذه الحملة مطوري البرمجيات وسممت 300 مستودع GitHub عبر قنوات تحكم معقدة للغاية.

مقدمة تحليلية

في واحدة من كبرى العمليات الأمنية المشتركة، أعلنت شركة CrowdStrike بالتعاون مع Google ومؤسسة Shadowserver Foundation عن نجاحها في تفكيك البنية التحتية لبرمجية GlassWorm الخبيثة بشكل كامل. هذا التفكيك شمل القضاء المتزامن على قنوات التحكم والسيطرة (C2) التي أدارت حملة معقدة ونشطة منذ أوائل عام 2025. كانت هذه الشبكة تمثل تهديداً مباشراً لمجتمع المطورين وسلاسل التوريد العالمية، حيث نجحت قبل سقوطها في اختراق وتسميم أكثر من 300 مستودع برمجيات على منصة GitHub باستخدام هويات رقمية مسروقة.

يعكس هذا الاختراق التحول الجوهري في استراتيجيات المجموعات التخريبية التي باتت ترى في المطورين بوابة العبور الذهبية لضرب البنى التحتية للمؤسسات. فمن خلال استهداف محطة عمل واحدة لمطور يمتلك صلاحيات وصول واسعة، يتمكن المهاجمون من التسلل إلى مستودعات الأكواد المصدرية، ومنصات الحوسبة السحابية، وخطوط الإنتاج والترقية البرمجية (CI/CD pipelines). تتيح هذه الطريقة للمهاجمين تسميم حزم برمجية كاملة تؤثر لاحقاً على آلاف المؤسسات والشركات والمستخدمين النهائيين دفعة واحدة، مما جعل من تدمير هذه الشبكة أولوية أمنية قصوى لحماية سلاسل التوريد الرقمية العالمية.

التحليل التقني

تعتمد برمجية GlassWorm على نهج هجومي متعدد المراحل يستهدف في المقام الأول بيئات التطوير المتكاملة وأدوات المطورين اليومية. بدأت الحملة بتوزيع ملحقات برمجية ملغومة (Trojanized extensions) على متجر Microsoft VS Code Marketplace ومنصة Open VSX المفتوحة. أتاح هذا التكتيك استهداف المطورين الذين يستخدمون محرر الأكواد الشهير VS Code بالإضافة إلى النسخ المتفرعة منه والموجهة لتطوير تطبيقات الذكاء الاصطناعي مثل Cursor وPositron وWindsurf وVSCodium. ولم يقتصر التهديد على الملحقات، بل شمل أيضاً حقن أكواد خبيثة داخل حزم معتمدة في مستودعات npm ولغة Python.

بمجرد تثبيت المطور للملحقات أو الحزم المصابة، تبدأ البرمجية في تنفيذ سيناريو الاختراق وسرقة البيانات الحساسة عبر آليات تقنية تشمل ما يلي:

  • برمجية GlassWormRAT: وهي أداة وصول عن بعد (RAT) تعتمد على لغة JavaScript وتستخدم بروتوكول Websocket لإنشاء قنوات تواصل سريعة ومباشرة مع خوادم التحكم، مما يمنح المهاجمين قدرة على تنفيذ الأوامر والتحكم في النظام بشكل كامل.
  • تثبيت ملحق متصفح Chrome خبيث: تقوم البرمجية بزرع ملحق خاص في المتصفح لجمع لقطات الشاشة، وتسجيل ضربات المفاتيح (Keystrokes)، ونسخ محتويات الحافظة (Clipboard) بشكل دوري لسرقة كلمات المرور والرموز الأمنية.
  • حصاد الهويات والرموز: يقوم المالوير بمسح محركات الأقراص وجهاز الضحية بحثاً عن هويات ومفاتيح وصول GitHub، ورموز رفع حزم npm وOpenVSX، فضلاً عن البيانات الحساسة لمحافظ العملات المشفرة، لتمكين المهاجمين من مواصلة عمليات التسميم اللاحقة.
  • تحويل الأنظمة المصابة لبنية تحتية هجومية: يتم استغلال الأجهزة المخترقة وتحويلها إلى خوادم بروكسي SOCKS، وخوادم VNC مخفية (HVNC)، وعقد لتنفيذ الأوامر عبر تقنيات WebRTC أو عمليات Node.js، مما يمنح المهاجمين غطاءً مجهولاً داخل شبكات الشركات المتضررة.

أما الميزة الأكثر إثارة للقلق في معمارية GlassWorm، فهي استخدامها لأربع قنوات تحكم وسيطرة مستقلة ومبتكرة لضمان مرونة فائقة ضد محاولات التعطيل أو الحظر التقليدية، وهي كالتالي:

  • بلوكشين Solana كمنصة ميتة لحل العناوين: يتم تخزين عناوين خوادم الـ C2 الفعلية في حقول الملاحظات (Memo fields) الخاصة بمعاملات البلوكشين العامة، لتقوم البرمجية بقراءتها بانتظام.
  • شبكة BitTorrent DHT: الاستعلام الموزع عبر شبكات الند للند (P2P) لاسترجاع ملفات التكوين والتهيئة الخاصة بالهجوم وتجاوز جدران الحماية التقليدية للمؤسسات.
  • تقويم Google Calendar كحل بديل: استغلال واجهة برمجية التقويم لقراءة عناوين خوادم التحكم والسيطرة المكتوبة بذكاء في عناوين الأحداث المجدولة بشكل مخصص من قبل المهاجمين.
  • خوادم VPS تجارية: قنوات اتصال مباشرة وتواجد تقليدي على خوادم افتراضية خاصة مستضافة لدى مزودي خدمات سحابية تجاريين كخط اتصال داعم واحتياطي.

السياق وتأثير السوق

تأتي هذه الهجمات في فترة حرجة تشهد فيها صناعة التكنولوجيا والبرمجيات اعتماداً كلياً على أدوات التطوير المفتوحة والمستودعات السحابية. لم يعد المهاجمون يركزون على اختراق الأهداف النهائية عبر ثغرات الأنظمة، بل انتقلوا بذكاء إلى مقدمة السلسلة لتسميم الأكواد البرمجية قبل تجميعها من الأساس. يعكس استهداف بيئات برمجية ذكاء اصطناعي مثل Cursor وعياً دقيقاً من المجموعات التخريبية بأحدث توجهات السوق التقني وسعياً لاقتناص الأكواد المصدرية والممتلكات الفكرية لتقنيات المستقبل.

تاريخياً، كانت هجمات سلاسل التوريد المعقدة حكراً على مجموعات التجسس المدعومة من الدول، ولكن البنية الفنية لـ GlassWorm تدل على وقوف جهات إجرامية منظمة تهدف لتحقيق مكاسب مادية وسرقة العملات المشفرة. وتشير التحليلات الأمنية لـ CrowdStrike إلى أن المطورين والجهات المشغلة لهذه البرمجية ينشطون على الأرجح من روسيا، نظراً لتعليقات الكود المصدري الروسية، فضلاً عن امتناع البرمجية عن العمل نهائياً إذا تم تشغيلها على أجهزة تقع ضمن نطاق دول رابطة الدول المستقلة (CIS)، وهو سلوك تقليدي لتفادي الملاحقة القانونية المحلية.

رؤية Glitch4Techs

في Glitch4Techs، نعتبر أن تفكيك شبكة GlassWorm يمثل انتصاراً تقنياً باهراً لجهود الدفاع السيبراني المشترك، غير أنه يثير ناقوس خطر كبير حول مدى هشاشة البيئة الأمنية التي يعمل بها مطورو البرمجيات. في الوقت الذي تستثمر فيه الشركات ملايين الدولارات لتأمين خوادم الإنتاج والشبكات السحابية، تظل محطات عمل المطورين الخيار الأسهل للمهاجمين؛ حيث تفتقر الغالبية العظمى منها لسياسات أمنية صارمة تمنع تثبيت ملحقات مجهولة المصدر أو حزم برمجية عشوائية.

توضح هذه القضية أن الثقة الممنوحة لمتاجر الملحقات مثل VS Code Marketplace هي ثغرة تنظيمية خطيرة في منظومة البرمجة العالمية. نوصي في Glitch4Techs بضرورة فرض سياسات صفر ثقة (Zero Trust) على محطات المطورين، ومنع الاتصال المباشر بمستودعات الحزم غير المعتمدة داخلياً، ومراقبة سلوك العمليات البرمجية بشكل مستمر للحد من مخاطر الهجمات المستقبلية التي ستستمر بالتأكيد في استغلال آليات التمويه المعقدة كالبلوكشين والخدمات السحابية الشرعية.

أعجبك المقال؟ شاركه

النشرة البريدية

كن أول من يعرف بمستقبل التقنية

أهم الأخبار والتحليلات التقنية مباشرة في بريدك.