موج جدید حملات زنجیره تأمین با بدافزار GlassWorm در اکوسیستم VS Code

انتی ویروس قوی

موج جدید حملات زنجیره تأمین با بدافزار GlassWorm در اکوسیستم VS Code

یک کمپین پیچیده و سازمان‌یافته با نام GlassWorm دوباره در اکوسیستم توسعه نرم‌افزار فعال شده است. این کمپین با نفوذ به افزونه‌های Visual Studio Code و رجیستری Open VSX، زنجیره تأمین ابزارهای توسعه را هدف قرار داده و توانسته است هزاران توسعه‌دهنده را در معرض تهدید قرار دهد. ماهیت خودتکثیرشونده بدافزار و اتکای آن به زیرساخت فرمان‌دهی غیرقابل حذف مبتنی بر بلاک‌چین، GlassWorm را به یکی از جدی‌ترین تهدیدهای Supply-Chain در سال‌های اخیر تبدیل کرده است.

برای آشنایی با راهکارهای تخصصی امنیت شبکه می‌توانید از وب‌سایت مدیران شبکه برنا بازدید کنید.

1. مقدمه

بدافزار GlassWorm برای نخستین بار توسط تیم‌های امنیتی پس از شناسایی افزونه‌های مخرب در رجیستری Open VSX گزارش شد. با وجود حذف اولیه این بسته‌ها، مهاجمان در موج‌های بعدی حملات موفق به انتشار بسته‌های جدید در هر دو مخزن VS Code Marketplace و Open VSX شدند. این نکته نشان می‌دهد که مهاجمان نه‌تنها به فرآیند انتشار افزونه‌ها اشراف داشته‌اند، بلکه از یک ساختار اتوماسیون پیشرفته برای بازتولید مداوم آلودگی استفاده کرده‌اند.

2. مکانیسم آلودگی و نفوذ

تحلیل‌ها نشان می‌دهد که GlassWorm از چند تکنیک پیشرفته برای مخفی‌سازی و گسترش خود بهره می‌برد:

2.1. استفاده از کاراکترهای یونیکد نامرئی

کدهای مخرب با استفاده از Unicode Invisible Characters در فایل‌های جاوااسکریپت/تایپ‌اسکریپت تزریق شده‌اند. این کاراکترها در ادیتور قابل مشاهده نیستند و موجب می‌شوند خطوط مخرب حتی با بررسی دستی نیز پنهان باقی بمانند. این روش، تحلیل ایستا را به‌شدت دشوار و رفتار بدافزار را غیردیداری می‌کند.

2.2. ماژول اجرایی ZOMBI

هسته عملکرد GlassWorm در قالب ماژولی با نام ZOMBI عمل می‌کند که قابلیت‌های زیر را فراهم می‌سازد:

  • سرقت توکن‌ سرویس‌های توسعه (GitHub، Git، npm، Open VSX)
  • دسترسی به اطلاعات ذخیره‌شده در افزونه‌های کیف‌پول رمزارز (بیش از ۴۹ کیف‌پول)
  • ایجاد HVNC (Hidden VNC) برای کنترل مخفیانه سیستم
  • راه‌اندازی پروکسی شبکه SOCKS برای استفاده از سیستم قربانی به عنوان نود حمله

این بخش از بدافزار توان عملیاتی GlassWorm را در حد یک ابزار نفوذ سازمان‌یافته و با قابلیت استفاده در حملات بعدی ارتقا می‌دهد.

3. زیرساخت فرماندهی (C2) مبتنی بر بلاک‌چین

یکی از مهم‌ترین بخش‌های این حمله، استفاده از بلاک‌چین Solana برای ارسال فرمان‌ها است. مهاجمان دستورات را در قالب تراکنش‌های رمزگذاری‌شده در شبکه ثبت می‌کنند؛ بنابراین:

  • حذف یا مسدودسازی C2 عملاً غیرممکن است
  • مهاجمان می‌توانند بدون زیرساخت سروری سنتی، قربانیان را کنترل کنند
  • رهگیری فرمان‌ها نیازمند تحلیل بلاک‌چین با دقت بالا است

در صورت اختلال در این روش، مهاجمان از کانال‌های پشتیبان مانند Google Calendar برای انتقال فرمان‌ها استفاده کرده‌اند که نشان‌دهنده طراحی چند لایه و مقاوم حمله است.

4. دامنه آلودگی و تأثیر

تحقیقات اولیه نشان می‌دهد:

  • بیش از ۳۵٬۰۰۰ نصب افزونه آلوده در موج اول گزارش شده است
  • در موج‌های اخیر بیش از ۲۴ افزونه جدید مخرب در رجیستری‌ها شناسایی شده
  • توسعه‌دهندگان حرفه‌ای، تیم‌های DevOps، سازمان‌ها و پروژه‌های متن‌باز در معرض خطر مستقیم قرار دارند
  • احتمال سرقت گسترده توکن‌های CI/CD و دسترسی به مخازن کد بسیار بالاست
  • با توجه به وابستگی گسترده صنعت به VS Code، این حمله می‌تواند اثرات زنجیره‌ای در پروژه‌های نرم‌افزاری جهانی ایجاد کند.

5. توصیه‌های امنیتی و اقدامات کاهش ریسک

5.1. کنترل زنجیره تأمین افزونه‌ها

  • استفاده از افزونه‌ها تنها از توسعه‌دهندگان معتبر با سابقه قابل‌بررسی
  • فعال‌سازی “Marketplace Restriction” در محیط‌های سازمانی
  • اعمال Allow-List برای افزونه‌های مجاز

5.2. اقدامات فوری برای سیستم‌های مشکوک

  • بازنشانی تمام توکن‌ها و API Keyهای GitHub/GitLab/npm
  • بررسی ترافیک شبکه برای شناسایی اتصالات ناشناس یا پروکسی SOCKS
  • اسکن کامل سیستم با ابزارهای EDR
  • تحلیل افزونه‌های نصب‌شده و حذف بسته‌های مشکوک

برای آشنایی با راهکارهای حرفه‌ای DLP می‌توانید صفحات زیر را مشاهده کنید:

5.3. سیاست‌های امنیتی برای سازمان‌ها

  • فعال‌سازی نظارت بر رفتار افزونه‌ها (Runtime Monitoring)
  • محدودسازی دسترسی اینترنت توسعه‌دهندگان به رجیستری‌های غیرمجاز
  • تهیه نسخه پشتیبان از مخازن کد و بررسی تغییرات غیرمعمول

6. جمع‌بندی

حمله GlassWorm نشان‌دهنده یک رویکرد جدید و پیشرفته در حملات زنجیره تأمین ابزارهای توسعه نرم‌افزار است. ترکیب تکنیک‌های استگانوگرافی مبتنی بر یونیکد، سرقت اعتبارنامه‌ها، توانایی کنترل راه دور، و استفاده از بلاک‌چین برای C2، این کمپین را به یکی از مطمئن‌ترین و خطرناک‌ترین تهدیدهای هدف‌مند علیه توسعه‌دهندگان تبدیل کرده است.

با توجه به اینکه موج‌های جدیدی از افزونه‌های آلوده همچنان در حال شناسایی است، سازمان‌ها و برنامه‌نویسان باید با دقت بیشتری فرآیند نصب افزونه‌ها را کنترل کرده و نسبت به هرگونه رفتار غیرمعمول سیستم هشداردهنده باشند.

همچنین لازم به ذکر است توجه به امنیت توسعه‌دهندگان، کنترل زنجیره تأمین و به‌کارگیری سامانه‌های نظارتی و حفاظتی مانند EDR و ابزارهای DLP می‌تواند نقش تعیین‌کننده‌ای در کاهش ریسک چنین تهدیداتی داشته باشد.

برای راهکارهای امنیتی ESET می‌توانید از صفحه زیر بازدید کنید: محصولات ESET و سایت رسمی: https://www.eset.com/

اشتراک گذاری این پست
ایمیل
تلگرام
واتساپ
لینکدین

دیدگاهتان را بنویسید

آدرس ایمیل شما منتشر نخواهد شد. فیلد های ضروری مشخص شده اند *

ارسال نظر

سایر مقالات

مقالات مرتبط