شبكة الطيف الاخبارية - 5/27/2026 7:38:58 PM - GMT (+3 )
تم تدمير شبكة الروبوتات Glassworm التي استخدمت أدوات المطورين الموثوقة كسلاح وقامت بتشغيلها على مجتمع المصادر المفتوحة لتسميم المئات من مستودعات GitHub باستخدام تعليمات برمجية ضارة، في عملية منسقة بواسطة CrowdStrike وGoogle ومؤسسة ShadowServer.
شهدت عملية الإزالة، التي تمت بعد ظهر يوم 26 مايو، إصابة جميع قنوات القيادة والسيطرة الخاصة بـ Glassworm (C2) في وقت واحد، مما أدى إلى عزل مشغليها عن جيشهم من الروبوتات وإيقاف قدرتهم على توصيل حمولات ضارة جديدة.
وقال فريق عمليات مكافحة الخصوم التابع لشركة CrowdStrike في مدونة تشرح تفاصيل العملية: “إن عملية الإزالة هذه لها أهمية تتجاوز شبكة الروبوتات”.
“لقد شكلت Glassworm تحولًا كبيرًا في مشهد التهديدات الذي يجب أن يكون بمثابة دعوة للاستيقاظ لكل مؤسسة تقوم بشحن البرامج أو استهلاكها. لم يعد الخصوم يستهدفون المنتجات فحسب، بل يستهدفون المطورين الذين يقومون ببنائها.”
على مدار 18 شهرًا تقريبًا، استهدف مشغلو Glassworm بشكل منهجي المطورين الذين يتمتعون بإمكانية الوصول إلى مستودعات التعليمات البرمجية المصدر والمنصات السحابية وخطوط التكامل المستمر والنشر/التسليم (CI/DC) وسجلات الحزم.
قال CrowdStrike إن مثل هؤلاء الأفراد “أهداف عالية القيمة بشكل فريد”، لأنه من خلال اختراق محطة عمل واحدة لمطور مفتوح المصدر، يمكن لمشغلي Glassworm – في الظروف المناسبة – تنسيق تسوية كبيرة لسلسلة التوريد، مما يفتح الوصول إلى الآلاف من مؤسسات المستخدمين النهائية ويعرضهم للتسوية، وربما لسرقة البيانات والابتزاز.
ولم ينسب الفريق أي حوادث معروفة في سلسلة التوريد إلى شركة Glassworm.
أجرى مشغلو شبكة الروبوتات حملة واسعة النطاق ومتعددة الأوجه، حيث نشروا امتدادات VSCode طروادة إلى سوق OpenVSX متنكرة في شكل أدوات مفيدة مثل أدوات تعقب الوقت أو تنسيق التعليمات البرمجية. إلى جانب محرر VSCode، استهدفت هذه الملحقات أيضًا أدوات مثل Cursor وPositron وWindsurf وVSCodium.
كما استخدموا أيضًا حزم npm وPython المخترقة لإدخال تعليمات برمجية ضارة أثناء عمليات ربط ما بعد التثبيت ونصوص الإعداد، وتمكنوا – باستخدام بيانات اعتماد المطورين المسروقة من إصابات سابقة – من دفع التعليمات البرمجية الضارة إلى ما لا يقل عن 300 مستودع GitHub.
استهدفت العملية بيئات Windows وLinux وMacOS، مع وضع العديد من الأهداف النهائية في الاعتبار، بما في ذلك سرقة البيانات وبيانات الاعتماد وتقديم حصان طروادة (RAT) للوصول عن بعد لـ Node.js كامل الميزات والذي يطلق عليه اسم GlasswormRAT.
في تقريرها بعد الوفاة، قامت CrowdStrike بتفصيل كيفية قيام مشغلي Glassworm ببناء بنية مرنة مكونة من أربع قنوات مصممة لمقاومة جهود الإزالة. لقد استغلوا سلسلة Solana blockchain لإنشاء نقطة نهائية غير قابلة للتغيير لعناوين خادم C2، وجدول التجزئة الموزع من BitTorrent (DHT) لتخزين بيانات التكوين مقابل المفاتيح العامة المشفرة، وتقويم Google كنقطة ميتة أخرى لمسارات C2 المشفرة بـ Base62، وخوادم C2 التقليدية المستضافة على خدمات الخادم الافتراضي الخاص التجاري (VPS) لتوصيل حمولتها.
قالت CrowdStrike إن هذا المزيج من blockchain وخدمات الويب من نظير إلى نظير وخدمات الويب المشروعة كطبقات حل مكّن Glassworm من تقديم واجهة ديناميكية لحماية بنيتها التحتية بطبقات متعددة من الحماية، وهذا يعني أن عملية الإزالة نفسها يجب أن تكون دقيقة للغاية، وفي توقيت مثالي، حيث أن إزالة قناة واحدة فقط كانت ستسمح للمشغلين بالعودة إلى الوقوف على أقدامهم بسرعة.
وفقًا لفريق CrowdStrike، فإن عملية الإزالة تنشئ نموذجًا للتعامل مع تهديدات سلسلة التوريد. كان مشغلو Glassworm المتطورون والمزودون بالموارد الجيدة والمثابرون يطورون قدراتهم باستمرار، وشكلوا – إذا تركوا دون رادع – خطرًا مستمرًا عبر قطاعات متعددة.
وقالت إن عملية الإزالة أثبتت أن التعطيل الاستباقي يمكن تحقيقه ضد الجهات التهديدية المرنة بضربات دقيقة تستهدف التبعيات التقنية التي لا يمكنهم استبدالها بسهولة، فضلاً عن قيمة التعاون بين القطاعات.
في وقت كتابة هذا التقرير، كانت جميع الأجهزة المصابة بالدودة الزجاجية تقوم الآن بإرسال إشارة إلى عنوان IP حميد – 164.92.88[.]210 – والتي تحتفظ بها شركة CrowdStrike، مما يتيح للضحايا الفرصة لاكتشاف أي تسوية ومعالجتها من خلال مراجعة سجلات الشبكة وقياس نقطة النهاية عن بعد.
ومع ذلك، فإن الكشف والمعالجة وحدهما لا يكفيان. مع الاستخدام الواسع النطاق للعشرات من الأنظمة البيئية للحزم، والتي تحتوي على ملايين الحزم وضوابط أمنية مدمجة محدودة، يظل خطر التعرض للخطر مرتفعًا. يمكن تثبيت الحزم الضارة من خلال تحديثات التبعية بشكل فوري تقريبًا، ومن الصعب اكتشاف أي شيء خاطئ حتى يحدث الضرر. علاوة على ذلك، فإن نطاق الانفجار المحتمل لحادث ما هائل.
تعرف الجهات الفاعلة في مجال التهديد، مثل عصابة Glassworm، كل هذا أيضًا، وقالت CrowdStrike إن هذا يثبت لماذا يجب أن تسير الجهود المستمرة لتأمين سلاسل التوريد مفتوحة المصدر جنبًا إلى جنب مع موقف عدواني ضد أولئك الذين يسعون إلى التسلل إليها.
وكتب الفريق: “طالما أن بيئات التطوير وخطوط الأنابيب ومستودعات الأكواد تظل غير محمية بشكل كافٍ، فإن كل مؤسسة تستهلك البرامج ترث مخاطر كل من ينتجها”.
“يجب على مجتمع الأمن – البائعون ووكالات إنفاذ القانون ومشغلو المنصات والنظام البيئي مفتوح المصدر – أن يستجيبوا بنفس القدر من التصميم. نحن بحاجة إلى المزيد من العمليات والاضطرابات المنسقة مثل هذه. إن CrowdStrike ملتزمة بنقل المعركة إلى الخصوم.”
إقرأ المزيد