GlassWorm Malware

تستهدف موجة جديدة من حملة برمجيات GlassWorm الخبيثة سلاسل توريد البرمجيات بنشاط، وذلك باستغلال رموز GitHub المسروقة لحقن برمجيات خبيثة في مئات المستودعات. وتركز هذه العملية بشكل أساسي على المشاريع المبنية على لغة بايثون، بما في ذلك تطبيقات Django، وبرمجيات أبحاث التعلم الآلي، ولوحات معلومات Streamlit، وحزم PyPI.

أسلوب الهجوم بسيط ظاهريًا ولكنه فعال للغاية: يتم إلحاق برمجيات خبيثة مُشفرة بملفات شائعة الاستخدام مثل setup.py و main.py و app.py. أي مطور يقوم بتثبيت التبعيات عبر pip install أو تشغيل كود مُستنسخ من مستودع مُخترق، يُفعّل الحمولة الخبيثة دون علمه.

عمليات الاستحواذ الصامتة على المستودعات: تقنية ForceMemo

يُقدّم هذا التطور في الحملة، والذي يُشار إليه الآن باسم ForceMemo، أسلوبًا خفيًا لاختراق المستودعات. إذ يتمكن المهاجمون من الوصول إلى حسابات المطورين والتلاعب بالمستودعات دون ترك أي آثار تقليدية.

من خلال إعادة دمج التغييرات المشروعة مع شيفرة خبيثة ودفعها قسرًا إلى الفرع الافتراضي، يحافظ المهاجمون على بيانات التغييرات الأصلية، بما في ذلك الرسالة والمؤلف والطابع الزمني، مما يخفي الاختراق بشكل فعال. هذا الأسلوب يقضي على المؤشرات الظاهرة مثل طلبات السحب أو سجلات التغييرات المشبوهة، مما يجعل اكتشافها أكثر صعوبة.

سلسلة تنفيذ الهجوم: من سرقة بيانات الاعتماد إلى تسليم الحمولة

تتبع حملة ForceMemo عملية اختراق منظمة ومتعددة المراحل:

• يتم اختراق بيئات المطورين في البداية من خلال ملحقات Visual Studio Code و Cursor الخبيثة التي تحمل مكونات GlassWorm المصممة لجمع بيانات الاعتماد الحساسة، بما في ذلك رموز GitHub.
• ثم يتم استخدام بيانات الاعتماد المسروقة لحقن حمولات مشفرة بصيغة Base64 في ملفات بايثون عبر جميع المستودعات المرتبطة بالحساب المخترق.
• يقوم البرنامج الخبيث المدمج بإجراء فحوصات بيئية، ويتجنب بشكل خاص التنفيذ على الأنظمة المُهيأة باللغة الروسية. ثم يستعلم من محفظة بلوك تشين سولانا لاسترداد عنوان URL الخاص بتسليم الحمولة بشكل ديناميكي.
• يتم تنزيل حمولات إضافية، بما في ذلك جافا سكريبت مشفرة مصممة لسرقة العملات المشفرة واستخراج البيانات.

القيادة والتحكم القائمان على تقنية البلوك تشين: بنية تحتية مرنة

من أبرز سمات هذه الحملة اعتمادها على سلسلة كتل سولانا كآلية للتحكم والسيطرة. فبدلاً من الخوادم التقليدية، يقوم المهاجمون بتخزين عناوين URL الخاصة بالحمولة ضمن حقول مذكرات المعاملات المرتبطة بعناوين محافظ محددة.

يكشف التحليل أن النشاط المرتبط بالمحفظة الرئيسية بدأ في وقت مبكر من 27 نوفمبر 2025، أي قبل أشهر من رصد اختراقات المستودع. وقد عالجت المحفظة عشرات المعاملات، مع تحديث مواقع البيانات بشكل متكرر، وأحيانًا عدة مرات في اليوم. يعزز هذا النهج اللامركزي من مرونة النظام ويزيد من صعوبة جهود إزالته.

توسيع نطاق الهجوم: npm والعدوى عبر الأنظمة البيئية

امتدت الحملة لتشمل سلاسل توريد جافا سكريبت، متجاوزةً بذلك بيئات بايثون. فقد تم اختراق حزمتين من حزم React Native npm، وهما react-native-international-phone-number (الإصدار 0.11.8) و react-native-country-select (الإصدار 0.3.91)، مؤقتًا وتوزيعهما مع برمجيات خبيثة مضمنة.

أدخلت هذه النسخ الخبيثة ثغرات ما قبل التثبيت لتنفيذ جافا سكريبت مُشفرة، مما يُطلق سلسلة عدوى مماثلة. ويتجنب هذا البرنامج الخبيث الأنظمة الروسية، ويسترجع تعليمات الحمولة عبر محفظة سولانا، وينشر تهديدات خاصة بمنصة معينة.

يتم التنفيذ بالكامل في الذاكرة باستخدام تقنيات وقت التشغيل مثل eval() أو تقنية الحماية المعزولة في Node.js، مما يترك آثارًا ضئيلة جدًا في الأدلة الجنائية الرقمية. بالإضافة إلى ذلك، تمنع آلية التخزين الدائم إعادة الإصابة خلال فترة 48 ساعة عن طريق تخزين الطابع الزمني محليًا.

أساليب متقدمة للتهرب والتوزيع

تُظهر الإصدارات الحديثة من برمجية GlassWorm الخبيثة تطوراً ملحوظاً في أساليب التوزيع والإخفاء. فمن خلال استغلال آليات extensionPack و extensionDependencies، يقوم المهاجمون بتوزيع حمولات خبيثة بشكل غير مباشر عبر أنظمة الإضافات الموثوقة.

اخترق عدد من المستودعات على منصة GitHub في حملات سابقة مرتبطة بالجهة نفسها، مستخدمةً أحرف Unicode غير مرئية لإخفاء برمجيات خبيثة. وعلى الرغم من اختلاف أساليب التمويه والتنفيذ، إلا أن جميع الحملات تعتمد باستمرار على البنية التحتية نفسها القائمة على منصة Solana، مما يؤكد وجود إطار عمل تشغيلي موحد.

إضافات بيئات التطوير المتكاملة الخبيثة: استهداف بيئات المطورين

كما تسللت الحملة إلى أدوات التطوير عبر إضافة خبيثة تُعرف باسم reditorsupporter.r-vscode-2.8.8-universal، وتستهدف بيئة تطوير Windsurf. تتنكر هذه الإضافة في صورة إضافة لدعم لغة R، وهي في الواقع برنامج لسرقة المعلومات يعتمد على Node.js.

بعد التثبيت، يسترجع الملحق البيانات المشفرة من معاملات سلسلة الكتل، وينفذها في الذاكرة، وينشر مكونات مُجمّعة لاستخراج البيانات الحساسة من متصفحات كروميوم. ويتم ضمان استمرارية عمله من خلال مهام مجدولة وتعديلات في سجل نظام ويندوز، مما يضمن تشغيله عند بدء تشغيل النظام.

يستهدف البرنامج الخبيث بيئات المطورين على وجه التحديد مع استبعاد الأنظمة الروسية، مما يعكس السلوك الذي لوحظ في متغيرات GlassWorm الأخرى.

مؤشرات الحجم والتأثير

تشير التحليلات الأمنية إلى أن الحملة قد اخترقت جزءًا كبيرًا من منظومة البرمجيات مفتوحة المصدر، مما أثر على أكثر من 433 مشروعًا عبر منصات متعددة. وتشمل هذه المشاريع مستودعات GitHub (بايثون وجافا سكريبت)، وإضافات VS Code، ومكتبات npm.

تتلاقى جميع مسارات العدوى في نهاية المطاف على نشر برنامج لسرقة المعلومات قائم على جافا سكريبت، مما يسلط الضوء على هدف نهائي ثابت يتمثل في جمع بيانات الاعتماد واستخراج البيانات.

• تم تأكيد اختراق أكثر من 433 مشروعًا وحزمة برمجية
• تتضمن طرق التوصيل المتعددة GitHub و npm وامتدادات بيئات التطوير المتكاملة (IDE).
• الاستخدام المتسق لبنية سولانا بلوك تشين لتسليم البيانات
• استبعاد متكرر للأنظمة الروسية في جميع المتغيرات

التقييم الاستراتيجي: حقبة جديدة من هجمات سلسلة التوريد

تمثل حملة ForceMemo تصعيدًا خطيرًا في التهديدات التي تواجه سلسلة توريد البرمجيات. فمزيجها من التلاعب الخفي بسجلات Git، وبنية التحكم والسيطرة القائمة على تقنية البلوك تشين، وناقلات العدوى عبر المنصات المختلفة، يُظهر مستوى عالٍ من النضج التشغيلي.

يشير إعادة استخدام البنية التحتية بالتزامن مع تطور آليات التوصيل إلى وجود خصم متكيف قادر على توسيع نطاق الهجمات مع الحفاظ على استمراريته وقدرته على التخفي. هذا التحول من الاختراقات المعزولة إلى عمليات التسلل المنسقة والمتعددة الأنظمة البيئية يؤكد على المخاطر المتزايدة التي تواجه بيئات التطوير الحديثة ومجتمعات المصادر المفتوحة.