تم تصعيد هجوم سلسلة التوريد بواسطة GlassWorm! الإضافات المزيفة تسرق الأصول المشفرة، وSolana أصبحت قناة C2

Gate News أخبار، أصدرت وكالة الأمن GoPlus تحذيرًا يفيد بأن GlassWorm قد تطورت من دودة VS Code المبكرة إلى إطار هجوم سلسلة التوريد المعقد للغاية، حيث تقوم بتمويه نفسها كإضافات Chrome لسرقة البيانات الحساسة للمستخدمين والأصول المشفرة، مع استمرار توسيع نطاق التهديد.

تكمن جوهر هذا الهجوم في الاعتماد على التسميم وحقن الشيفرة الخفية. يستخدم المهاجمون رموز Unicode خاصة وشخصيات PUA للتلاعب بحزم npm وPyPI، ويزرعون محمّلًا ضارًا. من الصعب التعرف على هذه الشخصيات في أدوات مراجعة الشيفرة، مما يسمح للشيفرة الضارة بتجاوز الفحص الثابت التقليدي، مما يؤدي إلى تلوث بيئة التطوير من المصدر.

على مستوى الاتصال، تتبنى GlassWorm أسلوب تحكم أكثر خفاءً. فقد تخلت عن خوادم أسماء النطاقات التقليدية، وبدلاً من ذلك استخدمت سلسلة كتل Solana كقناة للأوامر والتحكم، حيث تخفي التعليمات في ملاحظات المعاملات على السلسلة. تصميم هذه البنية التحتية يجعلها أكثر مقاومة للإغلاق، مما يعقد تتبعها أو قطعها من خلال الوسائل التقليدية.

على جانب الطرف النهائي، يتم تنفيذ الهجوم من خلال التمويه كإضافة “Google Docs Offline”. يمكن لهذا المكون الضار سرقة ملفات تعريف الارتباط الخاصة بالمتصفح، ومحتويات الحافظة، وسجل التصفح، كما يتمتع بقدرات تسجيل المفاتيح والتقاط الشاشة، ويمكنه مراقبة نشاط محافظ الأجهزة مثل Ledger وTrezor. بالإضافة إلى ذلك، يقوم المهاجمون بإظهار واجهات تصيد لإغراء المستخدمين بإدخال عبارات الاسترداد، مما يسمح لهم بالتحكم مباشرة في الأصول الرقمية.

تذكر GoPlus المستخدمين أنه يجب عليهم نشر أدوات الكشف القادرة على التعرف على الشخصيات الخفية، وتجنب تثبيت البرامج أو الإضافات غير المعروفة المصدر. كما يجب توخي الحذر بشأن التوقيعات والمعاملات غير العادية. إذا تم الاشتباه في اختراق الجهاز، يجب فصل الاتصال بالشبكة على الفور، واستبدال جميع بيانات اعتماد الحسابات ذات الصلة، للحد من الخسائر المحتملة.