كتب : محمد شوقي

كشفت تقارير أمنية عن موجة رابعة من حملة البرمجيات الخبيثة المعروفة باسم GlassWorm، تستهدف هذه المرة مطوري macOS عبر إضافات خبيثة لمنصة Visual Studio Code، يتم استخدامها لنشر نسخ مزيفة (Trojanized) من تطبيقات محافظ العملات الرقمية.

وبحسب باحثي الأمن في شركة Koi Security، تعتمد الحملة الجديدة على إضافات خبيثة منشورة في مستودع OpenVSX وكذلك متجر Microsoft Visual Studio Marketplace، وهما منصتان تُستخدمان لإضافة أدوات تطوير وميزات إنتاجية لمحررات الشيفرة المتوافقة مع VS Code.

بعكس الموجات السابقة التي ركزت على نظام ويندوز، تستهدف النسخة الأحدث من GlassWorm أنظمة macOS حصريًا.

وأوضح الباحثون أن المهاجمين غيروا أسلوبهم التقني، إذ لم يعودوا يعتمدون على أحرف Unicode غير المرئية أو ملفات Rustالتنفيذية، بل يستخدمون الآن حمولة مشفرة بخوارزمية AES-256-CBC مدمجة داخل شيفرة JavaScript مترجمة . 

ومن بين الإضافات الخبيثة التي جرى رصدها:

- studio-velte-distributor.pro-svelte-extension.

- cudra-production.vsce-prettier-pro.

- Puccin-development.full-access-catppuccin-pro-extension.

تبدأ الشيفرة الخبيثة بالعمل بعد تأخير مدته 15 دقيقة من التثبيت، في محاولة لتجاوز أنظمة التحليل الآلي وبيئات الاختبار.

كما استبدل المهاجمون استخدام PowerShell بـ AppleScript، واعتمدوا على LaunchAgents لضمان الاستمرارية داخل النظام بدل التلاعب بسجل النظام.

ورغم هذه التغييرات، لا تزال GlassWorm تستخدم شبكةSolana كآلية للتحكم والسيطرة (C2)، مع وجود تشابه واضح في البنية التحتية مع الحملات السابقة.

سرقة بيانات ومحافظ رقمية

وتحاول البرمجية سرقة:

- بيانات تسجيل الدخول لحسابات GitHub وNPM وOpenVSX.

- بيانات المتصفح.

- كلمات المرور المخزنة في Keychain.

- معلومات أكثر من 50 إضافة متصفح خاصة بالعملات الرقمية.

والأخطر أن النسخة الجديدة تحاول رصد وجود تطبيقات محافظ أجهزة مادية مثل Ledger Live وTrezor Suite، واستبدالها بنسخ مزيفة.

إلا أن هذا الجزء من الهجوم لا يعمل حاليًا بشكل كامل، إذ تعيد النسخ المزيفة ملفات فارغة.

وأوضح باحثو Koi Security أن ذلك قد يشير إلى أن المهاجمين لا يزالون يُعدون حمولة الهجوم الخاصة بمحافظ macOS، أو أن البنية التحتية تمر بمرحلة انتقالية، مؤكدين أن بقية وظائف البرمجية الخبيثة لا تزال فعّالة بالكامل.

تحذيرات وتحركات محدودة

وعند التحقق من الإضافات الخبيثة، ظهرت تحذيرات في منصةOpenVSX بشأن اثنتين منها، تشير إلى أن الناشر غير موثوق، إلا أن ذلك لا يعني بالضرورة إزالة الخطر بالكامل.

ويعيد هذا التطور تسليط الضوء على المخاطر المتزايدة التي تواجه المطورين، خصوصًا عند تثبيت إضافات من مصادر خارجية، في وقت أصبحت فيه بيئات التطوير هدفًا مباشرًا لهجمات تهدف إلى سرقة الأصول الرقمية وبيانات الاعتماد الحساسة.