هشدار امنیتی؛ بدافزار GlassWorm از طریق افزونه‌های آلوده OpenVSX منتشر شد

کمیته رکن چهارم – یک حمله زنجیره تأمین جدید، توسعه‌دهندگان macOS را هدف قرار داده و از طریق افزونه‌های آلوده‌ی پلتفرم OpenVSX، بدافزار پیشرفته‌ای به نام GlassWorm را روی سیستم‌ها توزیع کرده است؛ بدافزاری که برای سرقت رمزهای عبور، داده‌های کیف‌پول‌های رمزارزی و اطلاعات حساس توسعه‌دهندگان طراحی شده است.

به گزارش کمیته رکن چهارم – بررسی‌های امنیتی نشان می‌دهد مهاجم با نفوذ به حساب یک توسعه‌دهنده معتبر در OpenVSX با نام کاربری oorzc، به‌روزرسانی‌های مخربی را برای چهار افزونه منتشر کرده است. این افزونه‌ها پیش از آلودگی بیش از ۲۲ هزار بار دانلود شده بودند و حدود دو سال به‌صورت کاملاً سالم مورد استفاده قرار می‌گرفتند؛ موضوعی که نشان می‌دهد حساب توسعه‌دهنده هک شده و خود او عامل حمله نبوده است.

بدافزار GlassWorm که نخستین‌بار در اواخر سال گذشته شناسایی شد، به‌طور خاص سیستم‌های macOS را هدف می‌گیرد و از روش‌های پنهان‌کارانه‌ای مانند استفاده از کاراکترهای نامرئی Unicode برای مخفی‌سازی کد مخرب بهره می‌برد. این بدافزار قادر است اطلاعات مرورگرها، داده‌های Keychain، کوکی‌های Safari، یادداشت‌های Apple Notes، اسرار توسعه‌دهندگان و همچنین اطلاعات کیف‌پول‌های رمزارزی را سرقت کند.

در این کمپین، GlassWorm از یک روش غیرمعمول برای دریافت دستورات استفاده می‌کند و فرمان‌های خود را از طریق memo تراکنش‌های بلاکچین Solana دریافت می‌کند. همچنین بدافزار به‌طور عمدی سیستم‌هایی با تنظیمات محلی روسی را آلوده نمی‌کند؛ نکته‌ای که می‌تواند نشانه‌ای از منشأ یا محدودیت‌های مهاجم باشد.

افزونه‌های آلوده‌شده در این حمله شامل موارد زیر بوده‌اند:

oorzc.ssh-tools

oorzc.i18n-tools-plus

oorzc.mind-map

oorzc.scss-to-css-compile

این نسخه‌های مخرب در تاریخ ۳۰ ژانویه منتشر شده‌اند.

پس از گزارش این موضوع توسط شرکت امنیتی Socket، بنیاد Eclipse (مدیر OpenVSX) اقدام به حذف نسخه‌های مخرب، لغو توکن‌های دسترسی و پاک‌سازی مخزن کرده است. افزونه oorzc.ssh-tools به‌طور کامل از OpenVSX حذف شده، زیرا چندین نسخه آلوده از آن شناسایی شده بود.

کارشناسان امنیتی توصیه می‌کنند توسعه‌دهندگانی که این افزونه‌ها را نصب کرده‌اند، در اسرع وقت سیستم خود را پاک‌سازی کامل کرده، تمام رمزهای عبور و کلیدهای API، توکن‌ها و سایر اطلاعات حساس را تعویض کنند.

این حادثه بار دیگر نشان می‌دهد که بازار افزونه‌های ابزارهای توسعه می‌تواند به یک بردار جدی برای حملات زنجیره تأمین تبدیل شود و حتی منابع به‌ظاهر معتبر نیز نیازمند پایش و کنترل امنیتی مستمر هستند