هاكر يستهدف نظام OpenVSX لسرقة محافظ العملات الرقمية

جلاس وورم، برمجية خبيثة معروفة، وضعت 73 امتدادًا ضارًا في سجل OpenVSX. يستخدمها القراصنة لسرقة محافظ العملات الرقمية وبيانات أخرى للمطورين.

وجد الباحثون الأمنيون أن ستة امتدادات تحولت بالفعل إلى حمولات نشطة. تم تحميل الامتدادات كنسخ مزيفة من قوائم معروفة لم تكن ضارة. وفقًا لتقرير من Socket، يأتي الشيفرة الخبيثة في تحديث لاحق.

برمجية GlassWorm الخبيثة تهاجم مطوري العملات الرقمية

في أكتوبر 2025، ظهرت GlassWorm لأول مرة. استخدمت حروف يونيكود غير مرئية لإخفاء الشيفرة المقصودة لسرقة بيانات محافظ العملات الرقمية وبيانات اعتماد المطورين. ومنذ ذلك الحين، انتشرت الحملة إلى حزم npm، ومستودعات GitHub، وسوق Visual Studio Code، وOpenVSX.

ضربت موجة مئات المستودعات وعشرات الامتدادات في منتصف مارس 2026، لكن حجمها لفت انتباه الناس. لاحظت عدة مجموعات بحث النشاط في وقت مبكر وساعدت في إيقافه.

يبدو أن المهاجمين غيروا نهجهم. الدفعة الأخيرة لا تدمج البرمجيات الخبيثة على الفور؛ بدلاً من ذلك، تستخدم نموذج تفعيل مؤجل. ترسل امتدادًا نظيفًا، تبني قاعدة تثبيت، ثم ترسل تحديثًا خبيثًا.

قال باحثو Socket: «الامتدادات المستنسخة أو التي تتنكر على أنها أصلية تُنشر أولاً بدون حمولة واضحة، ثم يتم تحديثها لاحقًا لتوصيل البرمجيات الخبيثة».

وجد الباحثون الأمنيون ثلاث طرق لتوصيل الشيفرة الخبيثة عبر الـ73 امتدادًا. إحدى الطرق هي استخدام حزمة VSIX ثانية من GitHub أثناء تشغيل البرنامج وتثبيتها باستخدام أوامر CLI. طريقة أخرى تتضمن تحميل وحدات مخصصة لنظام التشغيل مثل ملفات [.]node التي تحتوي على المنطق الأساسي، بما في ذلك الروتينات للحصول على المزيد من الحمولة.

أما الطريقة الثالثة فهي استخدام جافا سكريبت مشفر بشكل مكثف ويُفك تشفيره أثناء التشغيل لتنزيل وتثبيت الامتدادات الخبيثة. كما تحتوي على روابط مشفرة أو احتياطية للحصول على الحمولة.

تبدو الامتدادات مشابهة جدًا للقوائم الأصلية.

في حالة واحدة، قام المهاجم بنسخ أيقونة الامتداد الحقيقي ومنحه اسمًا ووصفًا يكاد يكونان متطابقين. اسم الناشر والمعرف الفريد هما ما يميزانها، لكن معظم المطورين لا ينظرون عن كثب إلى هذه الأمور قبل التثبيت.

تم تصميم GlassWorm لاستهداف رموز الوصول، وبيانات محافظ العملات الرقمية، ومفاتيح SSH، ومعلومات بيئة المطور.

محافظ العملات الرقمية تتعرض باستمرار للهجمات من القراصنة

تهديدات تتجاوز مجرد محافظ العملات الرقمية. حادثة مختلفة ولكن ذات صلة تظهر كيف يمكن أن تنتشر هجمات سلسلة التوريد عبر بنية المطورين التحتية.

في 22 أبريل، استضاف سجل npm إصدارًا خبيثًا من CLI الخاص بـ Bitwarden لمدة 93 دقيقة تحت اسم الحزمة الرسمي @bitwarden/cli@2026.4.0. وجدت شركة JFrog، وهي شركة أمن، أن الحمولة سرقت رموز GitHub، ورموز npm، ومفاتيح SSH، وبيانات اعتماد AWS وAzure، وأسرار GitHub Actions.

وجد تحليل JFrog أن الحزمة المخترقة غيرت من وظيفة التثبيت والنقطة الأساسية للتشغيل لتحميل بيئة Bun وتشغيل حمولة مشفرة، سواء أثناء التثبيت أو أثناء التشغيل.

وفقًا لسجلات الشركة، لدى Bitwarden أكثر من 50,000 شركة و10 ملايين مستخدم. ربطت Socket هذا الهجوم بحملة أكبر تتبعها باحثو Checkmarx، وأكدت Bitwarden الاتصال.

يعتمد المشكلة على كيفية عمل npm وغيرها من السجلات. يستغل المهاجمون الفترة الزمنية بين نشر الحزمة وفحص محتوياتها.

وجدت Sonatype أن حوالي 454,600 حزمة خبيثة جديدة كانت تنتشر في السجلات في عام 2025. بدأ المهاجمون الذين يسعون للوصول إلى حوكمة العملات الرقمية، وDeFi، ومنصات إطلاق الرموز، في استهداف السجلات وإصدار سير عمل خبيث.

بالنسبة للمطورين الذين قاموا بتثبيت أي من الامتدادات الـ73 التي تم تحديدها، توصي Socket بتدوير جميع الأسرار وتنظيف بيئات التطوير الخاصة بهم.

الشيء التالي الذي يجب مراقبته هو ما إذا كانت الامتدادات الـ67 المتبقية التي لا تزال خاملة ستنشط في الأيام القادمة، وما إذا كانت OpenVSX ستطبق ضوابط مراجعة إضافية لتحديثات الامتدادات.

مصرفك يستخدم أموالك. أنت تحصل على الفتات. شاهد فيديوهاتنا المجانية عن كيف تصبح مصرفك الخاص.