يُقدّر خبراء الأمن في مجموعة Bkav أن عشرات الآلاف من أجهزة الكمبيوتر الخاصة بالمبرمجين قد أُصيبت بفيروس GlassWorm. وقد أدى الهجوم إلى سلسلة من ردود الفعل: إذ حوّل المخترقون هذه الأجهزة إلى منصات انطلاق لاختراق الشبكات الداخلية للشركات، والتلاعب بشفرة المصدر، ثم نسخ الفيروس ونشره تلقائيًا وبشكل متسارع في جميع أنحاء سلسلة توريد البرمجيات العالمية، بما في ذلك فيتنام.
لم تركز حملة الهجوم هذه على استغلال ثغرات البرامج بشكل مباشر. بدلاً من ذلك، استخدم المخترقون حسابات مسروقة ورموز وصول لحقن برمجيات خبيثة في شفرة مصدرية شرعية يشاركها المبرمجون على مستودعات الشفرة ومنصات أدوات البرمجيات.
يتم إجراء التغييرات الخبيثة تحت ستار الحسابات الشرعية أو يتم إخفاؤها بمعلومات تاريخ تحديث التعليمات البرمجية المصدرية (الالتزام) بما في ذلك المؤلف والمحتوى ووقت المساهمة، على غرار التحديثات الشرعية، مما يجعلها تبدو طبيعية ويصعب اكتشافها بصريًا أو من خلال الفحوصات الأولية.
قال نغوين دين ثوي، خبير البرمجيات الخبيثة في شركة Bkav: "يقوم المخترقون بتضمين أوامر خبيثة مباشرةً في أحرف يونيكود "غير مرئية" في الشيفرة، محولين أسطر النص التي تبدو فارغة إلى أدوات هجوم سرية. عند النظر إليها بالعين المجردة أو أثناء الفحوصات الأولية، تبدو الشيفرة طبيعية تمامًا. وهذا ما يجعل من الصعب على المبرمجين وأدوات الاختبار التقليدية اكتشاف أي خلل".
إلى جانب حقن البرمجيات الخبيثة في مستودعات الشفرة المصدرية، يستخدم برنامج GlassWorm أيضًا تقنيات حقن أحرف Unicode "غير المرئية" في بعض أساليب الهجوم لتجاوز أنظمة التحقق الآلي. وبدلًا من استخدام الخوادم التقليدية التي يسهل اكتشافها وإيقافها، تستغل هذه الحملة شبكة Solana blockchain لتخزين أوامر التحكم ونقلها. وهذا ما يجعل نظام المخترق لا مركزيًا ويصعب إيقافه للغاية. في الوقت نفسه، يتناوب البرنامج الخبيث بين ستة عناوين IP على الأقل لخوادم التحكم والسيطرة للحفاظ على الاتصال وإخفاء نشاطه.
عند تفعيلها، تسرق البرمجية الخبيثة بيانات حساسة مثل محافظ العملات الرقمية، ومفاتيح أمان SSH، ورموز التحقق من الوصول، ومعلومات نظام المبرمجين، مما يزيد من توغلها في أنظمة المؤسسة. وقد امتد هذا الهجوم تحديدًا إلى بيئة العمل اليومية للمبرمجين، من خلال أدوات التطوير، والإضافات، أو أجزاء التعليمات البرمجية التابعة المضمنة بالبرمجية الخبيثة.
في فيتنام، تُستخدم منصات مثل GitHub وnpm على نطاق واسع في تطوير المنتجات، بدءًا من تطبيقات الويب والهواتف المحمولة وصولًا إلى أنظمة المؤسسات. في حال حقن مكتبة شائعة ببرمجيات خبيثة، قد ينتشر الخطر إلى العديد من مشاريع البرمجيات المحلية وأنظمة المؤسسات عبر التبعيات التي يستخدمها المبرمجون. تنصح Bkav المبرمجين والمؤسسات التقنية بما يلي: تثبيت الإصدارات وتعطيل التحديثات التلقائية للمكتبات والإضافات لمنع انتقال العدوى عبر التحديثات الجديدة. دمج أدوات فحص التعليمات البرمجية الآلية مباشرةً في بيئة التطوير المتكاملة (IDE) أو نظام التكامل المستمر/التسليم المستمر (CI/CD) لإجراء فحص مستمر والكشف المبكر عن التعليمات البرمجية المبهمة أو الأحرف المخفية. بالنسبة لمستودعات التعليمات البرمجية المصدرية، يُشترط تطبيق المصادقة متعددة العوامل (MFA) ومبادئ الحد الأدنى من الصلاحيات؛ مع تعطيل خاصية الدفع القسري على الفروع الحيوية. التأكد من تزويد جميع نقاط النهاية ببرامج مكافحة فيروسات احترافية، ودمجها مع حلول EDR/XDR المتقدمة لإنشاء طبقة دفاع مزدوجة، تستهدف على وجه التحديد البرمجيات الخبيثة الخفية أو التي لا تترك أي سجلات ملفات.
المصدر: https://www.sggp.org.vn/glassworm-tan-cong-chuoi-cung-ung-phan-mem-post844638.html
![[صورة] مظهر الطريق السريع بين هوا-فونغ تاو قبل افتتاحه.](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2026/03/25/1774430324663_ndo_br_2-resize-6064-jpg.webp)
تعليق (0)