يواجه حاملو العملات المشفرة في شبكة OpenVSX تهديدًا وشيكًا حيث تضع الجهات الفاعلة الخبيثة أنظارها على نهب الأصول الرقمية.
قامت برنامج GlassWorm، وهو برنامج ضار معروف، بوضع 73 امتدادًا ضارًا في سجل OpenVSX. يستخدمه المتسللون لسرقة محافظ العملات المشفرة الخاصة بالمطورين والبيانات الأخرى.
وجد الباحثون الأمنيون أن ستة امتدادات قد تحولت بالفعل إلى حمولات نشطة. تم تحميل الملحقات كنسخ مزيفة من قوائم معروفة ولم تكن ضارة. ووفقا لتقرير من شركة سوكيت، فإن الكود السيئ يأتي في تحديث لاحق.
تهاجم البرمجيات الخبيثة GlassWorm مطوري العملات المشفرة
في أكتوبر 2025، ظهرت دودة الزجاج لأول مرة. لقد استخدمت أحرف Unicode غير مرئية لإخفاء التعليمات البرمجية المخصصة لسرقة بيانات محفظة التشفير وبيانات اعتماد المطور. امتدت الحملة منذ ذلك الحين إلى حزم npm، ومستودعات GitHub، وVisual Studio Code Marketplace، وOpenVSX.
ضربت موجة مئات المستودعات وعشرات الامتدادات في منتصف مارس 2026، لكن حجمها لفت انتباه الناس. لاحظت عدة مجموعات بحثية هذا النشاط في وقت مبكر وساعدت في إيقافه.
ويبدو أن المهاجمين قد غيروا نهجهم. لا تتضمن الدفعة الأخيرة برامج ضارة على الفور؛ بدلاً من ذلك، يستخدم نموذج التنشيط المؤجل. فهو يرسل ملحقًا نظيفًا، وينشئ قاعدة تثبيت، ثم يرسل تحديثًا سيئًا.
وقال الباحثون في شركة سوكيت: "يتم نشر الامتدادات المستنسخة أو المنتحلة لأول مرة دون حمولة واضحة، ثم يتم تحديثها لاحقًا لتوصيل البرامج الضارة".
وجد الباحثون الأمنيون ثلاث طرق لتوصيل التعليمات البرمجية الضارة عبر الملحقات الـ 73. إحدى الطرق هي استخدام حزمة VSIX ثانية من GitHub أثناء تشغيل البرنامج وتثبيته باستخدام أوامر CLI. هناك طريقة أخرى تقوم بتحميل الوحدات المجمعة الخاصة بالنظام الأساسي مثل ملفات العقدة [.] التي تحتوي على المنطق الأساسي، بما في ذلك إجراءات الحصول على المزيد من الحمولات.
تستخدم الطريقة الثالثة جافا سكريبت المبهم بشدة والذي يتم فك تشفيره في وقت التشغيل لتنزيل الملحقات الضارة وتثبيتها. كما أن لديها عناوين URL مشفرة أو احتياطية للحصول على الحمولة.
تبدو الإضافات تشبه إلى حد كبير القوائم الحقيقية.
وفي إحدى الحالات، قام المهاجم بنسخ أيقونة الامتداد الأصلي وأعطاه اسمًا ووصفًا متطابقين تقريبًا. إن اسم الناشر والمعرف الفريد هما ما يميزهما عن بعضهما البعض، ولكن معظم المطورين لا ينظرون عن كثب إلى هذه الأشياء قبل التثبيت.
تم تصميم GlassWorm لمتابعة رموز الوصول وبيانات محفظة التشفير ومفاتيح SSH والمعلومات حول بيئة المطورين.
تتعرض محافظ العملات المشفرة لهجوم مستمر من المتسللين
التهديد يتجاوز مجرد محافظ التشفير. هناك حادثة مختلفة ولكنها ذات صلة توضح كيف يمكن أن تنتشر هجمات سلسلة التوريد عبر البنية التحتية للمطورين.
في 22 أبريل، استضاف سجل npm إصدارًا سيئًا من واجهة سطر الأوامر الخاصة بـ Bitwarden لمدة 93 دقيقة تحت اسم الحزمة الرسمي @bitwarden/cli@2026.4.0. وجدت شركة JFrog الأمنية أن الحمولة سرقت رموز GitHub ورموز npm ومفاتيح SSH وبيانات اعتماد AWS وAzure وأسرار GitHub Actions.
وجد تحليل JFrog أن الحزمة المخترقة قامت بتعديل خطاف التثبيت ونقطة الدخول الثنائية لتحميل وقت تشغيل Bun وتشغيل حمولة مبهمة، أثناء التثبيت وأثناء التشغيل.
وفقًا لسجلات الشركة الخاصة، لدى Bitwarden أكثر من 50000 شركة و10 ملايين مستخدم. وربط مقبس هذا الهجوم بحملة أكبر تتبعها باحثو Checkmarx، وأكد Bitwarden هذا الارتباط.
تعتمد المشكلة على كيفية عمل npm والسجلات الأخرى. يستغل المهاجمون الوقت بين نشر الحزمة وفحص محتوياتها.
عثرت Sonatype على حوالي 454,600 حزمة ضارة جديدة تغزو السجلات في عام 2025. وقد بدأت الجهات الفاعلة في مجال التهديد التي تتطلع إلى الوصول إلى خدمات حفظ العملات المشفرة، وDeFi، ومنصات إطلاق الرموز المميزة، في استهداف السجلات وإطلاق مسارات عمل ضارة.
بالنسبة للمطورين الذين قاموا بتثبيت أي من امتدادات OpenVSX الـ 73 التي تم وضع علامة عليها، يوصي سوكيت بتدوير جميع الأسرار وتنظيف بيئات التطوير الخاصة بهم.
الشيء التالي الذي يجب مراقبته هو ما إذا كانت الامتدادات الخاملة المتبقية وعددها 67 سيتم تنشيطها في الأيام القادمة، وما إذا كان OpenVSX ينفذ ضوابط مراجعة إضافية لتحديثات الامتدادات.