أخبار الشركات
موجة هجمات جديدة تستهدف مطوري macOS عبر إضافات مزيفة لبيئات البرمجة
تشهد منصة macOS موجة جديدة من الهجمات الإلكترونية، بعد رصد حملة رابعة من البرمجية الخبيثة المعروفة باسم GlassWorm، التي انتقلت هذه المرة من استهداف مستخدمي ويندوز إلى التركيز بشكل خاص على مطوري أنظمة ماك. وتعتمد الحملة الجديدة على توزيع إضافات مزيفة لمحرر الشيفرة الشهير Visual Studio Code بهدف التلاعب بمحافظ العملات الرقمية وسرقة البيانات الحساسة.
موجة هجمات جديدة تستهدف مطوري macOS عبر إضافات مزيفة لبيئات البرمجة
موجة هجمات جديدة تستهدف مطوري macOS عبر إضافات مزيفة لبيئات البرمجة
بحسب تقارير أمنية صادرة عن شركة Koi Security، تم اكتشاف إضافات خبيثة منشورة في كل من مستودع OpenVSX ومتجر Microsoft Visual Studio Marketplace. وتظهر هذه الإضافات للمستخدمين على أنها أدوات تطوير عادية تزيد الإنتاجية، بينما تُستخدم في الواقع كوسيلة لنشر نسخ مزيفة من تطبيقات محافظ العملات الرقمية, ومن بين الأسماء التي جرى رصدها ضمن هذه الحملة:
- studio-velte-distributor.pro-svelte-extension
- cudra-production.vsce-prettier-pro
- Puccin-development.full-access-catppuccin-pro-extension
هذه الإضافات المزورة صُممت خصيصًا لخداع المطورين الذين يعتمدون بشكل يومي على VS Code وإضافاته.
تركيز كامل على أنظمة macOS
على عكس المراحل السابقة من GlassWorm التي استهدفت أنظمة ويندوز، فإن النسخة الجديدة تركز حصريًا على مستخدمي macOS. وقد غيّر القائمون على الهجوم أسلوبهم بشكل واضح؛ إذ تخلوا عن تقنيات استغلال أحرف Unicode غير المرئية أو ملفات Rust التنفيذية، واتجهوا بدلًا من ذلك إلى استخدام حمولة خبيثة مشفرة بخوارزمية AES-256-CBC مدمجة داخل شيفرة JavaScript.
تقنيات تمويه متقدمة لتجاوز الاكتشاف
تعتمد البرمجية على أسلوب تأخير التنفيذ لمدة تصل إلى 15 دقيقة بعد التثبيت، وذلك لتجاوز أدوات التحليل الآلي. كما انتقل المهاجمون من استخدام PowerShell إلى AppleScript، مع الاعتماد على آلية LaunchAgents لضمان بقاء البرمجية نشطة داخل النظام حتى بعد إعادة التشغيل, ورغم هذه التغييرات، لا تزال GlassWorm تستخدم شبكة Solana كقناة للتحكم والسيطرة C2، مع وجود تشابه ملحوظ في البنية الخلفية مع الحملات السابقة.
سرقة بيانات ومحافظ عملات رقمية
تهدف البرمجية الخبيثة إلى جمع مجموعة واسعة من البيانات الحساسة، من بينها:
- بيانات تسجيل الدخول لمنصات GitHub وNPM وOpenVSX
- بيانات المتصفحات وكلمات المرور المحفوظة
- معلومات من إضافات متصفحات متعلقة بالعملات الرقمية
- الوصول إلى Keychain في macOS
كما تحاول البرمجية رصد وجود تطبيقات المحافظ المادية مثل Ledger Live وTrezor Suite، والعمل على استبدالها بإصدارات مزيفة. إلا أن هذا الجزء ما يزال تحت التطوير، إذ تعيد النسخ المزيفة حاليًا ملفات فارغة.
تحذيرات أمنية ونصائح للمطورين
أصدرت منصة OpenVSX تحذيرات حول بعض هذه الإضافات، مشيرة إلى أن ناشريها غير موثوقين، لكن ذلك لا يعني زوال الخطر بالكامل. وتؤكد هذه الحملة مرة أخرى أن بيئات التطوير نفسها أصبحت هدفًا مباشرًا للهجمات الإلكترونية، خاصة مع ازدياد الاعتماد على العملات الرقمية والأصول الافتراضية.
ستارلينك تعيد تصميم أسطولها الفضائي بخفض المدارات لتعزيز سلامة الفضاء
كيف تحمي نفسك
ينصح الخبراء المطورين باتباع الخطوات التالية:
- تثبيت الإضافات من مصادر موثوقة فقط
- مراجعة الصلاحيات قبل التثبيت
- تحديث النظام وبرامج الحماية باستمرار
- مراقبة أي سلوك غير طبيعي في الجهاز أو المتصفح
إن تصاعد مثل هذه الهجمات يبرز بوضوح أن المخاطر لم تعد تقتصر على المستخدمين العاديين، بل طالت المطورين أنفسهم الذين يشكلون بوابة مهمة للوصول إلى مشاريع وشيفرات حساسة وأصول رقمية عالية القيمة.
روبوت بشري صيني يبرع في التنس ويكشف مستقبل التفاعل بين الإنسان والآلة