تهديد "دودة الزجاج" يخترق المطورين عبر حزم برمجية مسممة لسرقة أصول الكريبتو وبيانات الحسابات
في هجوم سيبراني معقد يبدأ من مجتمعات المطورين لينتشر كالنار في الهشيم، كشفت تحقيقاتنا الحصرية عن حملة خبيثة جديدة أطلق عليها الباحثون اسم "GlassWorm" أو "دودة الزجاج". هذه الهجمة لا تستهدف المستخدم العادي، بل تتسلل عبر قنوات المطورين لتصبح قنبلة موقوتة تهدد البنية التحتية الرقمية العالمية وسلامة أمن البلوكشين.
تعمل البرمجيات الخبيثة عن طريق اختراق حسابات مطوري الحزم البرمجية الموثوقة على منصات مثل npm وPyPI، أو عن طريق نشر حزم جديدة مسممة. عندما يقوم مطور بتثبيت أو تحديث إحدى هذه الحزم، يتم تنفيذ برنامج نصي خفي يجس الجهاز. اللافت أن البرنامج يتوقف إذا اكتشف أن لغة النظام هي الروسية، مما يشير إلى مصدر الهجوم. بعد ذلك، يتصل البرنامج بسلسلة كتل سولانا لاكتشاف عنوان المرحلة الثانية من العدوى، مستغلاً حقل "ميمو" في المعاملات لتخزين المعلومات بدلاً من عناوين إنترنت قابلة للحجب.
المرحلة الثانية هي برنامج سارق للمعلومات يركز على ملفات تعريف ملحقات المتصفح، وتطبيقات المحافظ الرقمية المنفصلة، والملفات النصية التي قد تحتوي على عبارات استعادة المحافظ، بالإضافة إلى رمزيات وصول npm، وأوراق اعتماد git، وأسرار VS Code، وأوراق اعتماد مزودي السحابة. يتم إرسال كل هذه البيانات المسربة إلى خادم المهاجمين عن بعد.
أما الضربة القاضية فتأتي في المرحلة الثالثة، حيث يتم تحميل مكونين رئيسيين: أولاً، تطبيق تصيّد احتيالي يستهدف مستخدمي أجهزة ليدجر وترازور لسرقة أصول الكريبتو. وثانياً، حصان طروادة للوصول عن بُعد مكتوب بلغة Node.js، مزود بوسائل لسرقة بيانات اعتماد المتصفحات وتثبيت ملحقات متصفح وهمية للمراقبة. ويؤمن البرنامج استمراريته في النظام عن طريق مهام مجدولة ومفاتيح تسجيل تشغيل تلقائي.
يؤكد خبير أمن سيبراني طلب عدم الكشف عن هويته: "هذا الهجوم متعدد المراحل يمثل ثغرة يوم الصفر في ثقة مجتمع المصادر المفتوحة. استغلال سلسلة التوريد البرمجية هو الكابوس الذي حذرنا منه. المهاجمون يبنون جسراً مباشراً من جهاز المطور إلى أصوله الرقمية ومحيطه المهني بأكمله".
لماذا يجب أن يهمك هذا؟ لأن أمنك الرقمي لم يعد يعتمد فقط على حاسوبك الشخصي. إنه يعتمد على سلامة الأدوات التي يبني بها المطورون العالم الرقمي من حولك. عندما يتم اختراق حزمة برمجية يعتمد عليها آلاف التطبيقات والمواقع، فإن بياناتك ومحافظك الرقمية معرضة للخطر دون أن تلمس زراً واحداً.
نتوقع أن تشهد الأشهر القادمة موجة من هجمات فيروسات الفدية والابتزاز التي تنطلق من هذه الحملة، حيث يستخدم المهاجمون البيانات المسربة للوصول إلى شبكات الشركات. الخطر الحقيقي هو تحول هذه التقنية إلى سلاح متاح في السوق السوداء السيبرانية.
الحدود بين عالم المطورين والمستخدم النهائي قد محيت. الخطر الآن في قلب
