کمیته رکن چهارم– پژوهشگران امنیت سایبری از حملهای گسترده به زنجیره تأمین توسعه نرمافزار خبر دادهاند که با استفاده از افزونههای آلوده در محیط Visual Studio Code، بدافزار خودانتشاری به نام GlassWorm را منتشر میکند. این حمله که توسط شرکت Koi Security شناسایی شده، از بلاکچین سولانا و سرویس Google Calendar برای دریافت فرمان و دادههای مخرب استفاده میکند.
به گزارش کمیته رکن چهارم، GlassWorm افزونههایی در مخازن Open VSX و Microsoft Marketplace را آلوده کرده که تاکنون بیش از ۳۵٬۸۰۰ بار دانلود شدهاند. این بدافزار با بهرهگیری از کاراکترهای نامرئی یونیکد، کدهای مخرب را بهطور پنهان در محیط توسعه قرار داده و با هر بار بهروزرسانی خودکار افزونهها، بدون اطلاع کاربر فعال میشود.
اهداف این بدافزار شامل سرقت توکنهای احراز هویت، تخلیه کیف پول رمزارز، نصب سرور پروکسی و اجرای کنترل از راه دور از نوع HVNC است. همچنین از طریق ماژولی به نام Zombi، ارتباطات غیرمتمرکز و توزیع فرمانها از طریق DHT بیتتورنت نیز انجام میشود.
بدافزار GlassWorm نخستین کرم خودگسترش در اکوسیستم توسعهدهندگان محسوب میشود که با ساختار زنجیرهای، بدون نیاز به دخالت انسانی گسترش مییابد. آلودگیها از ۱۷ اکتبر ۲۰۲۵ آغاز شده و هنوز منشأ دقیق نفوذ مشخص نشده است.
در جمعبندی، استفاده خلاقانه مهاجمان از زیرساختهای قانونی مانند بلاکچین و خدمات ابری، این حمله را به یکی از پیچیدهترین تهدیدات زنجیره تأمین در سالهای اخیر تبدیل کرده است. کارشناسان امنیتی هشدار دادهاند که توسعهدهندگان باید بررسی دقیقتری روی افزونههای نصبشده انجام داده و بهروزرسانیهای خودکار را بهطور موقت متوقف کنند.
