کمپین جدید GlassWorm با افزونه‌های «خوابیده» توسعه‌دهندگان را هدف گرفت

کمیته رکن چهارم – موج جدیدی از کمپین سایبری GlassWorm با هدف قرار دادن اکوسیستم OpenVSX شناسایی شده که در آن ده‌ها افزونه به‌ظاهر سالم، پس از به‌روزرسانی به ابزار توزیع بدافزار تبدیل می‌شوند. این روش، با سوءاستفاده از اعتماد کاربران، خطر نفوذ به محیط‌های توسعه را افزایش داده است.

به گزارش کمیته رکن چهارم، در این کمپین ۷۳ افزونه موسوم به «Sleeper» شناسایی شده‌اند که در نگاه اولیه فاقد هرگونه کد مخرب هستند، اما در به‌روزرسانی‌های بعدی به‌صورت ناگهانی رفتار مخرب از خود نشان می‌دهند. بر اساس بررسی‌ها، دست‌کم ۶ مورد از این افزونه‌ها تاکنون فعال شده و بدافزار توزیع کرده‌اند و سایر موارد همچنان در حالت غیرفعال یا مشکوک قرار دارند.

در مرحله نخست این حمله، مهاجمان با انتشار نسخه‌های کپی از افزونه‌های معتبر، اعتماد کاربران را جلب می‌کنند. این افزونه‌ها از نظر نام، توضیحات و حتی آیکون بسیار شبیه نمونه‌های اصلی هستند و تنها تفاوت آن‌ها در نام ناشر یا شناسه فنی است. یک منبع مطلع از این موضوع به کمیته رکن چهارم گفت: «این روش باعث می‌شود افزونه‌ها بدون جلب توجه وارد محیط توسعه شوند و حتی از بررسی‌های اولیه نیز عبور کنند.»

در مرحله بعد، کد مخرب از طریق یک به‌روزرسانی به افزونه اضافه می‌شود یا از راه دور دریافت می‌شود. این افزونه‌ها معمولاً به‌عنوان یک loader سبک عمل کرده و payload اصلی را از منابع خارجی دریافت و اجرا می‌کنند. روش‌های مورد استفاده شامل دانلود بسته‌های ثانویه از GitHub، اجرای ماژول‌های باینری و استفاده از کدهای JavaScript مبهم‌سازی‌شده است.

هدف این حملات، سرقت اطلاعات حساس از محیط‌های توسعه است. در نمونه‌های قبلی این کمپین، داده‌هایی مانند کلیدهای SSH، توکن‌های دسترسی، اطلاعات کیف‌پول‌های رمزارزی و سایر credentialها هدف قرار گرفته‌اند. این موضوع می‌تواند منجر به نفوذ گسترده به پروژه‌های نرم‌افزاری و زیرساخت‌های مرتبط شود.

پیشینه

کمپین GlassWorm پیش‌تر نیز در بسترهایی مانند npm، GitHub و فروشگاه VS Code فعالیت داشته و در برخی موارد با انتشار ابزارها و افزونه‌های مخرب، زنجیره تأمین نرم‌افزار را هدف قرار داده است. در نسخه‌های قبلی، کد مخرب از ابتدا در افزونه‌ها وجود داشت، اما در این موج جدید، مهاجمان از رویکرد «فعال‌سازی تأخیری» استفاده می‌کنند.

جمع‌بندی

این حمله نشان‌دهنده تحول در روش‌های نفوذ به اکوسیستم توسعه نرم‌افزار است، جایی که اعتماد تدریجی جایگزین حملات مستقیم شده است. در چنین شرایطی، حتی یک به‌روزرسانی ساده از یک افزونه می‌تواند به نقطه ورود برای مهاجمان تبدیل شود و امنیت کل سیستم را به خطر بیندازد.

منبع: BleepingComputer