يواجه المطورون تهديداً خطيراً من خلال إضافات برنامج Visual Studio Code (VS Code)، حيث تم اكتشاف شفرة خبيثة كانت خاملة وأصبحت نشطة الآن. يعتقد أن هذه الهجومية قد اخترقت آلاف المستخدمين وسرقت بيانات الدخول الخاصة بحسابات GitHub ومنصة Open VSX ومحافظ العملات الرقمية.
ما هي عملية GlassWorm؟
تم اكتشاف هجوم أطلق عليه اسم “Operation GlassWorm” لأول مرة من قبل شركة الأمن السيبراني Koi Security في نهاية الشهر الماضي. قامت مجموعة قرصنة بإنشاء هذه العملية عن طريق اختراق إضافات VS Code وتوزيعها عبر كل من سجل Open VS Code ومتجر Microsoft’s Visual Studio Marketplace. وقام القراصنة بتضمين شفرة خبيثة غير مرئية داخل أدوات مطورين تبدو شرعية.
أهداف الهجوم
يقول باحثو الأمن في Koi إن الحملة تهدف بشكل رئيسي إلى:
- سرقة بيانات دخول المطورين مثل رموز NPM وحسابات GitHub.
- تمكين القراصنة من اختراق سلسلة التوريد البرمجية.
- القيام بسرقات مالية.
وفقاً لتحليل Koi، استهدفت البرمجية الخبيثة نفسها 49 إضافة مختلفة لمحافظ العملات الرقمية، حيث قامت بتفريغ أموال المستخدمين وإرسال البيانات الحساسة إلى خوادم بعيدة.
كيف تعمل GlassWorm؟
كما ورد في مدونة فريق Koi، تقوم الإضافات الخبيثة بما يلي:
- نشر خوادم بروكسي SOCKS واستخدام أنظمة المطورين المخترقة لبناء شبكة بروكسي إجرامية.
- تثبيت خوادم VNC مخفية، مما يمنح المهاجمين وصولاً كاملاً عن بُعد إلى أجهزة الضحايا دون أي مؤشرات مرئية.
تساعد بيانات GitHub و NPM المسروقة المشغلين على إصابة المزيد من المستودعات والحزم، مما يسمح لـ GlassWorm بالانتشار deeper في سلسلة التوريد البرمجية.
العودة مرة أخرى بصورة متطورة
أكدت منصة Open VSX أنها حددت وأزالت جميع الإضافات الخبيثة المعروفة المرتبطة بالحملة في 21 أكتوبر، كما قامت بسحب وتجديد الرموز المخترقة. ومع ذلك، يشير التقرير الجديد من Koi Security إلى أن GlassWorm عادت للظهور، باستخدام شكل أكثر تطوراً من التمويه يعتمد على Unicode لتجاوز أنظمة الكشف.
وفقاً للشركة، تم اختراق سبع إضافات مرة أخرى في 17 أكتوبر، حيث بلغ مجموع تحميلاتها 35,800 تحميل. وتظهر بيانات Koi أن عشر إضافات مصابة نشطة ومتاحة للعامة وتوزع البرمجيات الخبيثة حتى الآن.
قال الباحثون: “البنية التحتية للمهاجمين للتحكم والسيطرة لا تزال تعمل بالكامل. خوادم الحمولة النافعة لا تزال تستجيب، ويتم استخدام بيانات الدخول المسروقة لاختراق حزم جديدة.”
كيف يتم إخفاء البرمجيات الخبيثة؟
رصد محرك تحليل المخاطر في Koi إضافة تسمى CodeJoy بعد أن أظهر الإصدار 1.8.3 “تغيرات سلوكية غير عادية”. تبدو CodeJoy كأداة شرعية لتعزيز إنتاجية المطورين، مع مئات التحميلات وشفرة مصدرية نظيفة وتحديثات منتظمة.
قال باحثو Koi: “عندما فتحنا الشفرة المصدرية، لاحظنا فجوة هائلة بين السطر الثاني والسابع. هذا ليس فراغاً، إنها شفرة خبيثة مشفرة بأحرف Unicode غير قابلة للطباعة لا تظهر في محرر الأكواد الخاص بك.”
استخدم المهاجمون محددات متغير Unicode “غير قابلة للهزيمة” تجعل الحمولة الخبيثة غير مرئية للعين البشرية. لم تلاحظ أدوات التحليل الثابتة أو المراجعات اليدوية للكود أي شيء غير عادي، ومع ذلك نفذ مفسر JavaScript الأوامر المخفية بسلاسة.
دور بلوكشين سولانا في الهجوم
عند فك التشفير، كشفت الأحرف غير المرئية آلية حمولة نافعة من المرحلة الثانية، اكتشف باحثو Koi أنها تستخدم بلوكشين سولانا كبنية تحتية للتحكم والسيطرة (C2).
أوضحت Koi: “يستخدم المهاجم بلوكشين عامًا، وهو غير قابل للتغيير ولا مركزي ومقاوم للرقابة، كقناة للتحكم والسيطرة.”
تقوم البرمجية الخبيثة بفحص شبكة سولانا للعثور على معاملات من عنوان محفظة ثابت. وعند العثور على واحدة، تقرأ حقل المذكرة (memo)، حيث يمكن إرفاق نص arbitrary بالمعاملات. داخل حقل المذكرة هذا يوجد كائن JSON يحتوي على رابط مشفر base64 لتحميل الحمولة النافعة للمرحلة التالية.
أظهرت معاملة على سولانا بتاريخ 15 أكتوبر بيانات تم فك تشفيرها إلى URL يستضيف الموقع النشط لتحميل المرحلة التالية من البرمجية الخبيثة.
يمكن للمهاجم تبديل الحمولات النافعة عن طريق نشر معاملة سولانا جديدة بتكلفة parts من السنت، لتحديث جميع الإضافات المصابة التي تستعلم من البلوكشين عن التعليمات الجديدة.
وفقاً لـ Koi، حتى إذا قام المدافعون بحظر عنوان URL واحد للحمولة النافعة، يمكن للمهاجم إصدار معاملة أخرى أسرع من الوقت اللازم لإسقاط الأولى.
كما لاحظ أحد باحثي Koi: “الأمر يشبه لعب whack-a-mole مع عدد لا حصر له من الثعالب.”
وأكد أعضاء Koi Security أن جهة التهديف قد نشرت معاملات سولانا جديدة تحتوي على نقاط نهاية أوامر جديدة حتى هذا الأسبوع.
الأسئلة الشائعة
س: ما هي عملية GlassWorm؟
ج: هي هجوم إلكتروني يستهدف إضافات برنامج VS Code لسرقة بيانات دخول المطورين ومحافظ العملات الرقمية، باستخدام شفرة خبيثة مخفية.
س: كيف تحمي نفسي من هذا الهجوم؟
ج: تحقق من مصدر الإضافات قبل تثبيتها، وقم بتحديث برامجك باستمرار، وراقب حساباتك وحساباتك الرقمية لاكتشاف أي نشاط مشبوه.
س: ما دور بلوكشين سولانا في هذا الهجوم؟
ج: يستخدم المهاجمون شبكة سولانا البلوكشين كقناة للتحكم عن بعد في البرمجيات الخبيثة، حيث يختبئون أوامرهم داخل معاملات البلوكشين الرقمية لجعل اكتشافها أصعب.
