عرض خصم التراخيص المتعددة
قاعدة بيانات التهديد البرمجيات الخبيثة برنامج GlassWorm v2 الخبيث

برنامج GlassWorm v2 الخبيث

بواسطة Mezo في البرمجيات الخبيثة, سارقون
ترجمة الى:

كشف باحثو الأمن السيبراني عن حملة خبيثة واسعة النطاق تستهدف عشرات الإضافات لبرنامج مايكروسوفت فيجوال ستوديو كود (VS Code) الموجودة على مستودع Open VSX. وتركز هذه العملية، التي تُعرف باسم GlassWorm، على سرقة المعلومات الحساسة من المطورين واختراق بيئات التطوير.

اكتشف المحققون 73 إضافة مشبوهة تُقلّد أدوات شرعية. من بينها، تم التحقق من ست إضافات على أنها خبيثة، بينما يبدو أن البقية تعمل كحزم "نائمة" كامنة مصممة لكسب ثقة المستخدمين قبل أن يتم استغلالها لاحقًا من خلال التحديثات.

تم تحميل جميع الامتدادات المحددة في أوائل أبريل 2026. ومنذ 21 ديسمبر 2025، ربط الباحثون أكثر من 320 قطعة أثرية ضارة بالبنية التحتية الأوسع لـ GlassWorm.

تم تأكيد عمليات تمديد خبيثة

تم التأكد من أن ملحقات Open VSX التالية ضارة:

  • outsidestormcommand.monochromator-theme
  • keyacrosslaud.auto-loop-for-antigravity
  • krundoven.ironplc-fast-hub
  • boulderzitunnel.vscode-buddies
  • cubedivervolt.html-code-validate
  • Winnerdomain17.version-lens-tool

الهندسة الاجتماعية من خلال الحزم المستنسخة

تُقلّد العديد من الإضافات الخبيثة الحزم الموثوقة بدقة من خلال أساليب انتحال أسماء النطاقات. على سبيل المثال، استخدم المهاجمون أسماءً مُضللة مثل CEINTL.vscode-language-pack-tr بدلاً من الاسم الشرعي Emotionkyoseparate.turkish-language-pack.

لتعزيز المصداقية، قامت هذه الإضافات المزيفة بنسخ الأيقونات والأوصاف الأصلية. تساعد استراتيجية "الثقة البصرية" هذه المهاجمين على زيادة عدد عمليات التثبيت بشكل طبيعي من خلال جعل الحزم تبدو أصلية وآمنة.

يلجأ المهاجمون إلى أساليب توصيل أكثر سرية

أفاد الباحثون بأن مشغلي برمجية GlassWorm الخبيثة يعملون بنشاط على تحسين أساليبهم لتجنب الكشف. فبدلاً من نشر البرمجيات الخبيثة فوراً، يعتمدون الآن على حزم برمجية كامنة وتوابع متعدية مخفية يمكن تفعيلها لاحقاً.

تستخدم الحملة أيضًا برامج تحميل تعتمد على Zig لتثبيت إضافة VSIX خبيثة ثانية مُستضافة على GitHub. بمجرد تشغيلها، يمكن لبرنامج التحميل نشر الحمولة الخبيثة عبر بيئات تطوير متكاملة (IDEs) متعددة مثبتة على نفس النظام.

بيئات تطوير متكاملة متعددة معرضة للخطر

يستطيع هذا البرنامج الخبيث تحديد وإصابة العديد من منصات المطورين من خلال الأمر --install-extension، بما في ذلك:

  • مايكروسوفت في إس كود
  • المؤشر
  • ركوب الأمواج
  • VSCodium

الحمولة النهائية مصممة لسرقة البيانات والتحكم عن بعد

بغض النظر عن مسار الإصابة الأولي، يبقى الهدف النهائي ثابتًا. صُممت البرمجية الخبيثة لتجنب الأنظمة الموجودة في روسيا، وجمع المعلومات الحساسة، ونشر حصان طروادة للوصول عن بُعد (RAT)، وتثبيت إضافة متصفح خبيثة تعتمد على كروميوم سرًا.

يمكن لملحق المتصفح هذا التقاط بيانات الاعتماد والإشارات المرجعية وبيانات مخزنة إضافية. في بعض الحالات، تكون آلية التسليم مخفية داخل جافا سكريبت مُشفرة، حيث يعمل الملحق كأداة تحميل فقط، بينما يتم تنزيل الحمولة الحقيقية وتنفيذها بعد التفعيل.

الشائع

الأكثر مشاهدة

جار التحميل...