کمیته رکن چهارم – کمپین Supply-Chain با نام GlassWorm بار دیگر با یک حمله گسترده و هماهنگ به اکوسیستم متنباز بازگشته و صدها کامپوننت نرمافزاری را آلوده کرده است.
به گزارش کمیته رکن چهارم، پژوهشگران شرکتهای Aikido، Socket، Step Security و جامعه OpenSourceMalware در این ماه مجموعاً ۴۳۳ کامپوننت آلوده را شناسایی کردهاند. این حمله بهصورت همزمان چندین پلتفرم توسعه را هدف قرار داده است، از جمله ۲۰۰ مخزن Python، ۱۵۱ مخزن JavaScript/TypeScript در GitHub، ۷۲ افزونه VSCode/OpenVSX و ۱۰ پکیج npm.
بر اساس تحلیلها، مهاجمان ابتدا حساب توسعهدهندگان را در GitHub به خطر انداخته و سپس با استفاده از force-push کد مخرب را به مخازن تزریق میکنند. در ادامه، نسخههای آلوده بهعنوان پکیجها و افزونههای نرمافزاری منتشر میشوند و وارد زنجیره تأمین میگردند.
یکی از تکنیکهای کلیدی این کمپین، استفاده از کاراکترهای Unicode نامرئی برای پنهانسازی کد مخرب و دور زدن ابزارهای امنیتی است؛ روشی که پیشتر در October 2025 نیز در این حملات مشاهده شده بود.
از ویژگیهای پیشرفته این حمله، استفاده از بلاکچین Solana برای ارتباط با زیرساخت فرماندهی (C2) است. بدافزار هر ۵ ثانیه بلاکچین را بررسی کرده و دستورات را از memos داخل تراکنشها دریافت میکند. در بازه November 27, 2025 تا March 13, 2026 حدود ۵۰ تراکنش برای بهروزرسانی payload ثبت شده است.
پس از دریافت دستور، بدافزار اقدام به دانلود Node.js runtime کرده و یک infostealer مبتنی بر JavaScript را اجرا میکند. این بدافزار اطلاعات حساسی مانند کیفپولهای رمزارزی، اعتبارنامهها، access tokenها، کلیدهای SSH و دادههای محیط توسعه را هدف قرار میدهد.
برخی شاخصها نشان میدهد این کمپین ممکن است توسط یک عامل تهدید روسیزبان اجرا شده باشد، زیرا بدافزار در صورت تشخیص locale روسی اجرا نمیشود؛ هرچند این موضوع برای انتساب قطعی کافی نیست.
پژوهشگران برای شناسایی آلودگی، وجود متغیر مشکوک lzcdrtfxyqiplpd در کد، فایل ~/init.json برای persistence، نصب غیرعادی Node.js در مسیر ~/node-v22* و فایلهایی مانند i.js را بهعنوان شاخصهای مهم معرفی کردهاند. همچنین اختلاف غیرعادی بین تاریخ commit و author در Git میتواند نشانهای از دستکاری مخرب باشد.
این حمله نشان میدهد زنجیره تأمین نرمافزار همچنان یکی از حساسترین و آسیبپذیرترین نقاط در امنیت سایبری است و توسعهدهندگان بهطور فزایندهای بهعنوان هدف اصلی مهاجمان انتخاب میشوند.
منبع: BleepingComputer
