قام برنامج GlassWorm الخبيث المعروف بوضع 73 إضافة ضارة في سجل OpenVSX. ويستخدمه المخترقون لسرقة محافظ العملات الرقمية الخاصة بالمطورين وبيانات أخرى.
اكتشف باحثون أمنيون أن ستة إضافات برمجية تحولت بالفعل إلى برامج ضارة. وقد تم تحميل هذه الإضافات كنسخ مزيفة لإضافات معروفة غير ضارة. ووفقًا لتقرير من شركة سوكيت، فإن الشفرة الخبيثة ظهرت في تحديث لاحق.
برمجيات GlassWorm الخبيثة تهاجم مطوري العملات المشفرة
في أكتوبر 2025، ظهر برنامج GlassWorm الخبيث لأول مرة. استخدم هذا البرنامج أحرف يونيكود غير مرئية لإخفاء شفرة برمجية تهدف إلى سرقة بيانات محافظ العملات الرقمية وبياناتdentالمطورين. ومنذ ذلك الحين، امتدت الحملة لتشمل حزم npm، ومستودعات GitHub، وسوق Visual Studio Code، وOpenVSX.
اجتاحت موجة من الهجمات الإلكترونية مئات المستودعات وعشرات الامتدادات في منتصف مارس 2026، لكن حجمها لفت انتباه الكثيرين. وقد لاحظت عدة مجموعات بحثية هذا النشاط مبكراً وساعدت في إيقافه.
يبدو أن المهاجمين قد غيّروا أسلوبهم. فالدفعة الأخيرة لا تُضمّن برمجيات خبيثة فورًا، بل تستخدم نموذج تفعيل متأخر. إذ تُرسل إضافة نظيفة، وتُنشئ قاعدة تثبيت، ثم تُرسل تحديثًا ضارًا.
باحثو Socket: "يتم نشر الإضافات المستنسخة أو المنتحلة للهوية أولاً بدون حمولة واضحة، ثم يتم تحديثها لاحقًا لتوصيل البرامج الضارة" قال.
اكتشف باحثو الأمن ثلاث طرق لنشر الشيفرة الخبيثة عبر 73 إضافة. إحدى هذه الطرق هي استخدام حزمة VSIX ثانية من GitHub أثناء تشغيل البرنامج وتثبيتها باستخدام أوامر سطر الأوامر. أما الطريقة الأخرى فتعتمد على تحميل وحدات مُجمّعة خاصة بالمنصة، مثل ملفات [.]node التي تحتوي على المنطق الأساسي، بما في ذلك إجراءات جلب المزيد من الحمولات الخبيثة.
ثمة طريقة ثالثة تستخدم شيفرة جافا سكريبت مُشفرة للغاية يتم فك تشفيرها أثناء التشغيل لتنزيل وتثبيت إضافات خبيثة. كما أنها تستخدم عناوين URL مشفرة أو احتياطية للحصول على الحمولة.
تبدو الإضافات شبيهة جداً بالقوائم الحقيقية.
في إحدى الحالات، قام المهاجم بنسخ أيقونة الإضافة الأصلية وأطلق عليها اسمًا ووصفًا متطابقين تقريبًا. اسم الناشرdentالفريد هما ما يميّزها، لكن معظم المطورين لا يُدقّقون في هذه الأمور قبل التثبيت.
تم تصميم GlassWorm لاستهداف رموز الوصول وبيانات محفظة العملات المشفرة ومفاتيح SSH ومعلومات حول بيئة المطور.
تتعرض محافظ العملات المشفرة باستمرار لهجمات من المتسللين
تُظهر كيف لا يقتصر التهديد على محافظ العملات المشفرة فحسب، بل إن حادثة أخرى ذات صلةdent لهجمات سلسلة التوريد أن تنتشر عبر البنية التحتية للمطورين.
في 22 أبريل، استضاف سجل npm نسخةً خبيثة من واجهة سطر الأوامر (CLI) الخاصة بـ Bitwarden لمدة 93 دقيقة تحت اسم الحزمة الرسمي @bitwarden/[email protected]AWS وAzuredent، وأسرار GitHub Actions.
وجد تحليل JFrog أن الحزمة المخترقة عدّلت خطاف التثبيت ونقطة الدخول الثنائية لتحميل وقت تشغيل Bun وتشغيل حمولة مشوشة، سواء أثناء التثبيت أو أثناء التشغيل.
بحسب سجلات الشركة نفسها، تضم Bitwarden أكثر من 50 ألف شركة و10 ملايين مستخدم. ربطت Socket هذا الهجوم بحملة أكبر tracباحثو Checkmarx، وأكدت Bitwarden هذا الارتباط.
تكمن المشكلة في كيفية عمل npm وغيرها من سجلات الحزم. المهاجمون الفترة الزمنية بين نشر الحزمة وفحص محتوياتها.
وجدت شركة Sonatype حوالي 454600 حزمة خبيثة جديدة تصيب السجلات في عام 2025. وقد بدأ المهاجمون الذين يسعون للوصول إلى خدمات حفظ العملات المشفرة، DeFi، ومنصات إطلاق الرموز المميزة في استهداف السجلات وإطلاق عمليات خبيثة.
بالنسبة للمطورين الذين قاموا بتثبيت أي من ملحقات OpenVSX الـ 73 التي تم وضع علامة عليها، توصي Socket بتدوير جميع الأسرار وتنظيف بيئات التطوير الخاصة بهم.
الشيء التالي الذي يجب مراقبته هو ما إذا كانت الإضافات الـ 67 المتبقية الخاملة ستنشط في الأيام المقبلة، وما إذا كان OpenVSX سيطبق ضوابط مراجعة إضافية لتحديثات الإضافات.
