أفاد باحثون في Aikido Security يوم الجمعة أنهم عثروا على ما لا يقل عن 151 مستودع GitHub تم اختراقها من قبل جهة تهديد يتم تتبعها باسم Glassworm، والتي تخفي حمولات ضارة في أحرف Unicode غير مرئية للعين البشرية. تم اختراق المستودعات المتأثرة في الفترة ما بين 3 و9 مارس، وفقًا لمدونة Aikido Security، وتوسعت الحملة منذ ذلك الحين لتشمل npm وسوق VS Code.
تعمق أكثر مع TH Premium: وحدة المعالجة المركزية
تستغل هذه التقنية أحرف منطقة الاستخدام الخاصة Unicode – على وجه التحديد، تتراوح من 0xFE00 إلى 0xFE0F و0xE0100 إلى 0xE01EF – والتي يتم عرضها على شكل مسافة بيضاء صفرية العرض في كل محرر تعليمات برمجية ومحطة طرفية تقريبًا، وبالتالي تظهر كمساحة فارغة لمطور يراجع طلب سحب. وفي الوقت نفسه، يقوم جهاز فك تشفير صغير باستخراج البايتات المخفية وتمريرها إلى eval()، وتنفيذ حمولة ضارة كاملة.
في حوادث Glassworm السابقة، قامت تلك الحمولة بجلب وتنفيذ برنامج نصي للمرحلة الثانية يستخدم سلسلة Solana blockchain كقناة قيادة وتحكم، قادرة على سرقة الرموز المميزة وبيانات الاعتماد والأسرار.
يستمر المقال أدناه
ويشير أيكيدو إلى أن الـ 151 إعادة شراء التي تم تحديدها هي على الأرجح جزء صغير من الإجمالي، حيث تم حذف العديد منها بالفعل قبل نشر البحث. ومن بين الأهداف البارزة مستودعات Wasmer وReworm وanomalyco، وهي المنظمة التي تقف وراء OpenCode وSST. ظهر نفس نمط وحدة فك التشفير أيضًا في حزمتين npm على الأقل وتم تحميل ملحق VS Code واحد في 12 مارس.
لسوء الحظ، فإن حملة الدودة الزجاجية الأخيرة هذه أصعب في التصدي لها من التكرارات السابقة بسبب تعقيد الحقن الضارة. وبدلاً من الظهور على أنها عمليات مشبوهة بشكل واضح، فإنها تتخذ شكل تعديلات على الإصدار وعمليات إعادة بناء صغيرة “متسقة من حيث الأسلوب مع كل مشروع مستهدف”. تقول Aikido إنها تشتبه في أن المهاجمين يستخدمون نماذج لغوية كبيرة لإنشاء هذا الغلاف، نظرًا لأن إنشاء 151 تغييرًا يدويًا في التعليمات البرمجية المخصصة عبر قواعد تعليمات برمجية مختلفة لن يكون ممكنًا بخلاف ذلك.
كانت Glassworm نشطة منذ مارس 2025 على الأقل، عندما اكتشف Aikido لأول مرة تقنية Unicode غير المرئية في حزم npm الضارة. بحلول شهر أكتوبر، انتقل نفس الممثل إلى سجل امتداد Open VSX ومستودعات GitHub. وجد تحقيق سابق أجرته Koi Security أن المجموعة استخدمت بيانات اعتماد npm وGitHub وGit المسروقة لنشر الدودة بشكل أكبر، مع حمولات مفككة التشفير تنشر خوادم VNC المخفية ووكلاء SOCKS للوصول عن بعد. تجعل البنية التحتية القائمة على Solana عملية الإزالة صعبة، حيث لا يمكن تعديل أو حذف معاملات blockchain.
توصي أيكيدو بفحص أسماء الحزم وتبعياتها قبل دمجها في المشاريع، واستخدام الأدوات الآلية التي تقوم بالمسح خصيصًا لأحرف Unicode غير المرئية، نظرًا لأن مراجعة التعليمات البرمجية المرئية لا تحمي هذا النوع من الحقن.
يتبع أجهزة توم على أخبار جوجل، أو أضفنا كمصدر مفضل، للحصول على آخر الأخبار والتحليلات والمراجعات في خلاصاتك.
التعليقات