استراتيجية الخداع: انتحال الشهرة وتضخيم الأرقام
اعتمد المهاجمون استراتيجية ذكية لزيادة مصداقية الإضافات الخبيثة وجذب الضحايا. تضمنت هذه الاستراتيجية:
-
انتحال أسماء وشعارات أدوات مشهورة لجعل الإضافات الضارة تبدو مشروعة ومعترفاً بها.
-
تضخيم أعداد التحميلات بشكل مصطنع لجعل هذه الإضافات تظهر بارزة في نتائج البحث، وغالباً بجوار المشاريع الأصلية التي تحاول تقليدها، مما يزيد من فرص خداع المطورين وتثبيتها عن غير قصد.
آلية الإصابة المتطورة: أوامر من بلوكشين سولانا وشفرة روس
تمثل الموجة الجديدة من “GlassWorm” تطوراً ملحوظاً في التعقيد التكتيكي:
-
شفرة خبيثة مكتوبة بلغة Rust: تحتوي الإضافات على مكونات خبيثة (implants) مكتوبة بلغة Rust، معبأة داخل ملفات مثل os.node لنظام Windows و darwin.node لنظام macOS. هذه اللغة معروفة بأدائها العالي وصعوبة تحليلها.
-
استخدام بلوكشين سولانا للتحكم: تتبع المكونات الخبيثة آلية مبتكرة حيث تستخرج عنوان خادم التحكم والسيطرة (C2) من محفظة على شبكة بلوكشين Solana، مستفيدة من طبيعتها اللامركزية والموزونة. كنسخة احتياطية، يمكنها أيضاً الحصول على عنوان الخادم من خلال تحليل حدث على Google Calendar.
-
تسريب البيانات وتوسيع الهجوم: كما في السابق، صُممت البرمجية لسرقة بيانات الاعتماد الحساسة (مثل مفاتيح npm وGitHub وGit)، وسرقة الأصول الرقمية من محافظ العملات المشفرة، وتحويل أجهزة المطورين المصابة إلى عقد يتم التحكم بها عن بُعد لاستخدامها في أنشطة إجرامية أخرى. الأخطر من ذلك، أنها تستخدم بيانات الاعتماد المسروقة لاختراق حزم وإضافات إضافية، مما يمكنها من الانتشار بشكل يشبه الدودة (Worm).
تحدٍ مستمر لمنصات السوق وجهود التطهير
يُظهر عودة الحملة بهذه القوة، رغم جهود الإزالة السابقة من قبل مايكروسوفت ومشرفي Open VSX، التحدي المستمر في تأمين منصات سوق الإضافات المفتوحة. يلاحظ الباحثون أن المهاجمين، بعد الموافقة الأولية على الإضافة، يستطيعون بسهولة تحديث الكود بنسخة خبيثة جديدة تتجاوز الفلاتر الأمنية. غالباً ما يتم إدخال الكود الضار مباشرة بعد سياق “التفعيل” (activate) في الإضافة، مما يزيد من صعوبة اكتشافه في الفحوصات الأولية. يدق الباحثون ناقوس الخطر حول حجم هذا التهديد، حيث نادراً ما ينشر مهاجم أكثر من 20 إضافة خبيثة عبر أشهر الأسواق في أسبوع واحد، مما يعرض آلاف المطورين للخطر بنقرة واحدة فقط.
