GlassWorm

در دنیای پرتحول امنیت سایبری، حملات زنجیره تأمین به یکی از خطرناک‌ترین تهدیدات علیه زیرساخت‌های IT و محیط‌های توسعه تبدیل شده‌اند. در اکتبر ۲۰۲۵، محققان امنیتی Koi Security کرم جدیدی به نام GlassWorm را کشف کردند؛ بدافزاری خودگستر که افزونه‌های Visual Studio Code (VS Code) را آلوده می‌کند و تاکنون بیش از ۳۵,۰۰۰ نصب را در بازارهای اوپن سورس تحت تأثیر قرار داده است.
این کرم با بهره‌گیری از آسیب‌پذیری‌های اکوسیستم متن‌باز، به سرورها، شبکه‌ها و ابزارهای توسعه نفوذ می‌کند و تهدیدی بزرگ برای تیم‌های DevOps و امنیتی به شمار می‌رود.

 GlassWorm چیست؟

کرم GlassWorm، افزونه‌های VS Code را از طریق بازارهای Open VSX Registry و Microsoft Extension Marketplace هدف قرار می‌دهد. برخلاف بدافزارهای سنتی، GlassWorm با استفاده از اعتبارنامه‌های سرقت‌شده، به افزونه‌های دیگر نفوذ می‌کند و به‌صورت زنجیره‌ای در محیط‌های توسعه گسترش می‌یابد.

این کرم می‌تواند اطلاعات حساس مانند توکن‌های GitHub و npm را بدزدد، کیف‌پول‌های رمزارزی را تخلیه کند و ابزارهای دسترسی از راه دور نصب کند.

ویژگی‌های مهم GlassWorm:

• کد مخفی: اسکریپت‌های آلوده با کاراکترهای نامرئی یونیکد پنهان می‌شوند.

• ارتباط C2 غیرمتمرکز: از تراکنش‌های بلاکچین Solana و رویدادهای Google Calendar برای فرمان و کنترل استفاده می‌کند.

• ماژول Zombi: پراکسی SOCKS، WebRTC برای ارتباط P2P و سرورهای VNC مخفی را راه‌اندازی می‌کند.

 نحوه گسترش GlassWorm

GlassWorm در تاریخ ۱۷ اکتبر ۲۰۲۵ فعالیت خود را آغاز کرد و ۱۳ افزونه در Open VSX و یک افزونه در بازار مایکروسافت را آلوده ساخت. افزونه‌های آلوده به‌صورت خودکار به‌روزرسانی می‌شوند و نسخه‌های آلوده را بدون اطلاع کاربر منتشر می‌کنند.

پس از نصب، بدافزار اعتبارنامه‌های توسعه‌دهنده را سرقت می‌کند و از آن‌ها برای انتشار بیشتر خود استفاده می‌کند.

افزونه‌های آلوده شامل:

• codejoy.codejoy-vscode-extension

• l-igh-t.vscode-theme-seti-folder

• kleinesfilmroellchen.serenity-dsl-syntaxhighlight

• JScearcy.rust-doc-viewer

• cline-ai-main.cline-ai-agent

این روش، اعتماد کاربران به بازارهای اوپن سورس را هدف گرفته و همان خطراتی را ایجاد می‌کند که در حملات زنجیره تأمین سرورها و شبکه‌ها دیده می‌شود.

 پیامدها برای زیرساخت IT و پروژه‌های متن‌باز

تأثیر GlassWorm تنها محدود به توسعه‌دهندگان نیست. این کرم می‌تواند به شبکه‌های سازمانی و سرورهای CI/CD نفوذ کند و ابزارهایی مانند Prometheus یا ELK Stack را مختل نماید.

در سطح سازمانی، GlassWorm خطرات زیر را ایجاد می‌کند:

• حرکت جانبی در شبکه: پراکسی‌ها و سرورهای VNC به مهاجمان اجازه می‌دهد از سد فایروال عبور کنند.

• افزایش ریسک زنجیره تأمین: بررسی ناکافی در بازارهای افزونه، گسترش سریع را تسهیل می‌کند.

• نشت داده: سرقت اعتبارنامه‌ها می‌تواند منجر به حملات باج‌افزاری و جاسوسی سایبری شود.

 راهکارهای کاهش و دفاع

برای جلوگیری از آلوده شدن به GlassWorm و تهدیدهای مشابه، این اقدامات را اجرا کنید:

1. به‌روزرسانی دستی افزونه‌ها: به‌روزرسانی خودکار را غیرفعال کنید تا از دریافت نسخه‌های آلوده جلوگیری شود.

2. محافظت از اعتبارنامه‌ها: احراز هویت چندمرحله‌ای (MFA) و کلیدهای سخت‌افزاری برای GitHub و npm را فعال کنید.

3. نظارت شبکه: فعالیت‌های مشکوک در پورت‌ها و ارتباط با IPهای مشکوک مانند 217.69.3.218 را بررسی کنید.

4. اسکن افزونه‌ها: پیش از نصب، با ابزارهایی مانند VirusTotal افزونه را بررسی کنید.

5. پاسخ سریع به حادثه: سیستم‌های آلوده را ایزوله کنید، رمزها را تغییر دهید و تحلیل جرم‌شناسی انجام دهید.

6. مانیتورینگ بلاکچین: تراکنش‌های مشکوک Solana را به عنوان شاخص تهدید (IoC) رصد کنید.

 نتیجه‌گیری

کرم GlassWorm نقطه عطفی در حملات زنجیره تأمین است که نشان می‌دهد حتی ابزارهای توسعه امن نیز در معرض خطر قرار دارند. تیم‌های IT و امنیت باید با تقویت نظارت و به‌کارگیری روش‌های DevSecOps، ریسک را به حداقل برسانند.
در RootNet.ir، ما توصیه می‌کنیم توسعه‌دهندگان امنیت را به بخشی جدایی‌ناپذیر از چرخه توسعه نرم‌افزار تبدیل کنند.

• The Hacker News – Self-Spreading GlassWorm Infects VS Code Extensions

• Truesec – GlassWorm Self-Propagating VSCode Extension Worm

• Veracode Blog – GlassWorm: The First Self-Propagating VS Code Extension Worm

• DarkReading – Self-Propagating GlassWorm Attacks VS Code Supply Chain