اكتشف باحثون أمنيون أن برمجية ضارة تُعرف باسم “GlassWorm” قامت بإدراج 73 إضافة ضارة في سجل منصة OpenVSX. يستخدمها القراصنة لسرقة محافظ العملات الرقمية الخاصة بالمطورين وبيانات أخرى.
كيف تعمل هجمات GlassWorm على مطوري العملات الرقمية؟
ظهرت GlassWorm لأول مرة في أكتوبر 2025. كانت تستخدم أحرفًا غير مرئية لإخفاء كود يهدف إلى سرقة بيانات محافظ العملات الرقمية وبيانات دخول المطورين. انتشرت هذه الحملة لاحقًا إلى حزم npm ومستودعات GitHub وسوق إضافات Visual Studio Code ومنصة OpenVSX.
في منتصف مارس 2026، ضربت موجة ضارة مئات المستودعات وعشرات الإضافات، لكن حجمها الكبير جذب انتباه الجميع. لاحظت عدة مجموعات بحثية هذا النشاط مبكرًا وساعدت في إيقافه.
يبدو أن المهاجمين غيروا أسلوبهم. الدفعة الجديدة لا تحتوي على برمجية ضارة فورًا، بل تستخدم نموذج تنشيط متأخر. ترسل إضافة نظيفة، ثم تبني قاعدة من المستخدمين، وبعدها ترسل تحديثًا ضارًا.
أساليب توصيل الشيفرات الضارة
وجد الباحثون الأمنيون ثلاث طرق لتوصيل الشيفرات الضارة عبر الإضافات الـ73:
- الطريقة الأولى: استخدام حزمة VSIX ثانية من GitHub أثناء تشغيل البرنامج وتثبيتها باستخدام أوامر CLI.
- الطريقة الثانية: تحميل وحدات مجمعة خاصة بالنظام مثل ملفات [.]node التي تحتوي على المنطق الأساسي، بما في ذلك تعليمات لجلب المزيد من الحمولات الضارة.
- الطريقة الثالثة: استخدام كود جافا سكريبت شديد التعتيم يقوم بفك التشفير أثناء التشغيل لتحميل وتثبيت إضافات ضارة، مع وجود روابط مشفرة أو احتياطية للحصول على الحمولة.
الإضافات تشبه إلى حد كبير الإضافات الحقيقية. في إحدى الحالات، نسخ المهاجم رمز الإضافة الأصلية وأعطاها اسمًا ووصفًا متطابقين تقريبًا. اسم الناشر والمعرف الفريد هما ما يميزهما، لكن معظم المطورين لا ينتبهون لهذه التفاصيل قبل التثبيت.
صُممت GlassWorm لاستهداف رموز الوصول وبيانات محافظ العملات الرقمية ومفاتيح SSH ومعلومات بيئة المطور.
محافظ العملات الرقمية تحت هجوم مستمر من المخترقين
التهديد لا يقتصر على محافظ العملات الرقمية فقط. في 22 أبريل، استضاف سجل npm نسخة ضارة من أداة Bitwarden CLI لمدة 93 دقيقة تحت اسم الحزمة الرسمي. وجدت شركة JFrog الأمنية أن الحمولة المسروقة شملت رموز GitHub ورموز npm ومفاتيح SSH وبيانات AWS وAzure وأسرار GitHub Actions.
اكتشف سوناتايب حوالي 454,600 حزمة ضارة جديدة في السجلات خلال عام 2025. بدأ المهاجمون الذين يسعون للوصول إلى منصات حفظ العملات الرقمية والتمويل اللامركزي ومنصات إطلاق الرموز في استهداف السجلات وإطلاق سير عمل ضارة.
للمطورين الذين قاموا بتثبيت أي من الإضافات الـ73 المشبوهة على OpenVSX، توصي سوكيت بتدوير جميع الأسرار وتنظيف بيئات التطوير الخاصة بهم.
الأمر التالي للمراقبة هو ما إذا كانت الإضافات الـ67 الخاملة المتبقية ستنشط في الأيام القادمة، وما إذا كانت OpenVSX ستطبق ضوابط مراجعة إضافية لتحديثات الإضافات.
الأسئلة الشائعة
ما هي برمجية GlassWorm وكيف تؤثر على مطوري العملات الرقمية؟
GlassWorm هي برمجية ضارة تستهدف مطوري العملات الرقمية عن طريق إدراج إضافات مزيفة في منصة OpenVSX. تهدف إلى سرقة محافظ العملات الرقمية وبيانات الدخول والمفاتيح الخاصة عن طريق تحديثات ضارة يتم إرسالها لاحقًا بعد بناء قاعدة مستخدمين.
كيف يمكنني حماية نفسي من هذه الهجمات كـمطور؟
يجب عليك التحقق دائمًا من اسم الناشر والمعرف الفريد للإضافة قبل التثبيت، وتدوير جميع الأسرار (مثل مفاتيح API ورموز الوصول) بانتظام، وتنظيف بيئة التطوير الخاصة بك، واستخدام أدوات أمنية لفحص الحزم قبل تثبيتها.
هل هذه الهجمات مقتصرة على محافظ العملات الرقمية فقط؟
لا، التهديد أوسع من ذلك. يمكن للبرمجية الضارة سرقة رموز GitHub وnpm ومفاتيح SSH وبيانات AWS وAzure وأسرار المنصات الأخرى. كما تم رصد هجمات مماثلة على منصات حفظ العملات الرقمية والتمويل اللامركزي ومنصات إطلاق الرموز الجديدة.
