21 مارس 2026
3 دقيقة قراءة
أضفنا على جوجلأضف SciAm
البرمجيات مفتوحة المصدر لديها ثغرة غير مرئية. لقد وجدها المتسللون
تقوم حملة جرائم إلكترونية تسمى GlassWorm بإخفاء برامج ضارة في شخصيات غير مرئية ونشرها من خلال البرامج التي يعتمد عليها الملايين من المطورين
الخطر في الكود يأتي من شخصيات غير مرئية للعين البشرية. في أوائل شهر مارس، قام باحثون في العديد من شركات الأمن بفحص ما بدا وكأنه مساحة فارغة ووجدوا أحرف Unicode مخفية تم فك تشفيرها وتحويلها إلى برنامج ضار. وسرعان ما تتبع المحققون المئات من المكونات مفتوحة المصدر المخترقة والمنتشرة عبر GitHub وnpm ومنصات المطورين الرئيسية الأخرى وصولاً إلى حملة الجرائم الإلكترونية المعروفة باسم GlassWorm والتي كانت مستمرة منذ أشهر.
تهاجم GlassWorm بعض الافتراضات الأساسية لتطوير البرمجيات الحديثة: تلك التعليمات البرمجية التي يمكنك قراءتها هي تعليمات برمجية يمكنك الوثوق بها، وأن البنية التحتية المشتركة آمنة بشكل افتراضي، وأن الأشخاص الذين يحتفظون بمشاريع مفتوحة المصدر يمكنهم اكتشاف الأخطاء بشكل موثوق قبل شحنها. ونظرًا لأن تطبيقات اليوم يتم تجميعها من تعليمات برمجية مستعارة، فيمكن لحزمة واحدة مسمومة أن تنتشر إلى ما هو أبعد من المشروع الذي ظهرت فيه لأول مرة.
ويشبه جاستن كابوس، أستاذ علوم الكمبيوتر في جامعة نيويورك، والذي يدرس أمن سلسلة توريد البرمجيات، الهجوم بآلة كاتبة تخفي رسالة ثانية على مرأى من الجميع. يقول: “تخيل لو أنه بدلاً من مجرد طباعة الشخصية بالحبر الأسود، ربما استخدمت كميات مختلفة من الحبر الأزرق والأحمر والأخضر بطريقة دقيقة حقًا”. “لذلك بدا الأمر وكأنه أسود نوعًا ما، لكنه لم يكن أسود تمامًا. إن الإنسان الذي ينظر إلى شيء كهذا لن يكتشف أي شيء لأن المعلومات الإضافية مخفية.”
حول دعم الصحافة العلمية
إذا كنت تستمتع بهذا المقال، ففكر في دعم صحافتنا الحائزة على جوائز من خلال الاشتراك. من خلال شراء اشتراك، فإنك تساعد على ضمان مستقبل القصص المؤثرة حول الاكتشافات والأفكار التي تشكل عالمنا اليوم.
فكرة تسليح الشخصيات غير المرئية ليست جديدة. وفي عام 2021، حدد الباحثون في جامعة كامبريدج فئة من الهجمات أطلقوا عليها اسم “مصدر طروادة”، والتي استغلت Unicode، وهو المعيار الذي تستخدمه أجهزة الكمبيوتر لتمثيل النصوص والرموز. وحذروا من أن “برامج المصب من المرجح أن ترث الثغرة الأمنية”.
يعمل GlassWorm بطريقة مماثلة. يقدم المهاجمون ما يبدو أنه إصلاحات صغيرة لبرامج مفتوحة المصدر. تبدو التغييرات متسقة مع التعليمات البرمجية المحيطة ولكنها تحتوي على أحرف غير مرئية. يقول كابوس: “عادةً ما يقول سطر واحد في الأسفل: “مرحبًا، انظر إلى الملف نفسه واستخرج كل المعلومات المخفية وافعل شيئًا خادعًا به”.
ما يجعل حملة GlassWorm فعالة هو الطريقة التي تستغل بها بنية تبعية البرنامج. يقول كابوس: “لنفترض أنك تريد إنشاء متصفح ويب”. “لا تريد أن تضطر إلى كتابة الكود لعرض الصورة بنفسك.” وبدلاً من ذلك، تعتمد التطبيقات على مكتبات التعليمات البرمجية المكتوبة مسبقًا، والتي بدورها تستورد تلقائيًا العشرات من التعليمات البرمجية الأخرى. يمكن أن يصاب أي واحد منهم بالتسمم. يوضح كابوس: “سيستخدم المهاجم البرامج الضارة ليس لوضع برامج ضارة في البرنامج الذي اخترقه، ولكن ليقول: مرحبًا، لكي أعمل، أحتاج إلى بعض العناصر الأساسية من هنا”. “وهذا العنصر الأساسي هو الذي يحتوي على البرامج الضارة.”
كانت موجة مارس 2026 ملحوظة من حيث الحجم والتعقيد. بين 3 و9 مارس، قامت شركات الأمن السيبراني Aikido وStepSecurity وSocket بتتبع نشاط GlassWorm عبر مئات المستودعات والامتدادات. امتدت العدوى إلى مستودعات JavaScript وTypeScript وPython. وبحلول 16 مارس/آذار، أصيبت حزمتان نظيفتان سابقًا بهما ما يقرب من 135 ألف عملية تنزيل شهرية.
المهاجمون الذين يقفون وراء GlassWorm يسعون للحصول على المال. بمجرد تشغيل الكود المخفي، يقوم بتنزيل البرامج النصية الثانوية المصممة لسرقة الرموز المميزة للعملات المشفرة وبيانات اعتماد المطور والأسرار الأخرى. يقول كابوس: “غالبًا ما تكون هذه العصابات محترفة في مجال الجرائم الإلكترونية”. “إنهم يكسبون الكثير من المال.”
ويكشف نجاحهم عن مشكلة أعمق. وكان مجال أمن سلسلة توريد البرمجيات، من وجهة نظر كابوس، “مهملا إلى حد كبير لفترة طويلة من الزمن”. ويقول إن الجهات الفاعلة في الدولة القومية استغلت هذه الظاهرة لأكثر من عقد من الزمان، والآن انتبه مجرمون الإنترنت إلى هذه الفرصة. لكنه يرى أن الفشل الحقيقي لا يكمن في الإهمال في صيانة التعليمات البرمجية مفتوحة المصدر، بل في عدم كفاية الأدوات الأمنية. ويقول: “أعتقد أن الشيء السهل حقًا هو محاولة إلقاء اللوم على القائمين على الصيانة، لكن هذا قصير النظر بعض الشيء”. “يجب تحسين الأدوات والحماية الأمنية لإنقاذنا.”
حان الوقت للدفاع عن العلم
إذا استمتعت بهذا المقال، أود أن أطلب دعمكم. العلمية الأمريكية لقد عمل كمدافع عن العلوم والصناعة لمدة 180 عامًا، وربما تكون اللحظة الحالية هي اللحظة الأكثر أهمية في تاريخ القرنين.
لقد كنت العلمية الأمريكية مشترك منذ أن كان عمري 12 عامًا، وقد ساعد ذلك في تشكيل الطريقة التي أنظر بها إلى العالم. SciAm يثقفني ويسعدني دائمًا، ويلهمني شعورًا بالرهبة تجاه عالمنا الواسع والجميل. وآمل أن يفعل ذلك بالنسبة لك أيضا.
إذا كنت الاشتراك في العلمية الأمريكيةأنت تساعد في ضمان أن تغطيتنا تركز على البحث والاكتشاف الهادف؛ وأن لدينا الموارد اللازمة للإبلاغ عن القرارات التي تهدد المختبرات في جميع أنحاء الولايات المتحدة؛ وأننا ندعم العلماء الناشئين والعاملين على حد سواء في وقت لا يتم فيه الاعتراف بقيمة العلم نفسه في كثير من الأحيان.
وفي المقابل، تحصل على الأخبار الأساسية، ملفات بودكاست آسرة، ورسوم بيانية رائعة، لا يمكنك تفويت النشرات الإخبارية ومقاطع الفيديو التي يجب مشاهدتها، ألعاب التحدي، وأفضل الكتابة والتقارير في عالم العلوم. يمكنك حتى إهداء شخص ما اشتراكًا.
لم يكن هناك وقت أكثر أهمية بالنسبة لنا للوقوف وإظهار أهمية العلم. آمل أن تدعمونا في تلك المهمة.
التعليقات