كراود سترايك وجوجل تفككان شبكة روبوتات "جلاس وورم" التي استهدفت مطوري البرمجيات

في إنجاز أمني بارز، نجحت شركة CrowdStrike، بالتعاون مع جوجل ومنظمة Shadowserver غير الربحية، في تفكيك شبكة الروبوتات الخبيثة المعروفة باسم "Glassworm". كانت هذه الشبكة تستهدف بشكل منهجي مطوري البرمجيات مفتوحة المصدر لمدة عامين، بهدف نشر البرمجيات الضارة وسرقة كلمات المرور الحساسة. يمثل هذا التفكيك خطوة حاسمة في مكافحة الهجمات على سلاسل التوريد البرمجية، التي تستغل الثقة المتأصلة في بيئات تطوير البرمجيات. وقد ركز مشغلو شبكة "Glassworm" الخبيثة أنشطتهم الإجرامية على سلسلة توريد البرمجيات مفتوحة المصدر الأوسع نطاقاً. تمثلت استراتيجيتهم في استهداف المطورين، الذين يمثلون أهدافاً ذات قيمة عالية بشكل فريد. كما أشارت CrowdStrike في تقريرها، فإن "المطورين يمثلون أهدافاً ذات قيمة عالية بشكل فريد: يمكن أن يؤدي اختراق محطة عمل مطور واحد إلى اختراق سلسلة التوريد التي تؤثر على آلاف المؤسسات والمستخدمين النهائيين". يتيح هذا النهج للمهاجمين حقن تعليمات برمجية ضارة في المصدر، مما قد يؤثر على عدد كبير من الشركات والمستخدمين الذين يعتمدون على البرمجيات المخترقة. استخدم قراصنة Glassworm مجموعة متنوعة من التكتيكات الخبيثة لتحقيق أهدافهم. شمل ذلك نشر إضافات ضارة في متاجر التطبيقات التي يستخدمها المطورون، والانخراط في "الإعلانات الخبيثة" (malvertising) حيث يدفع القراصنة مقابل نتائج بحث مدفوعة لخداع الضحايا لتنزيل برامج ضارة، واستغلال بيانات اعتماد مسروقة في اختراقات سابقة لاختطاف حسابات المطورين. بمجرد اختراق الحساب، كان المهاجمون قادرين على زرع البرامج الضارة مباشرة في مستودعات التعليمات البرمجية للمطورين. في نهاية المطاف، أدت هذه الأساليب إلى "تسميم" أكثر من 300 مستودع تعليمات برمجية على GitHub، مما يمثل ضربة قوية لسلامة العديد من مشاريع مفتوحة المصدر. استهدفت عملية CrowdStrike تحديداً وتعطيل أربع قنوات قيادة وتحكم (C2) كانت تستخدمها شبكة روبوتات Glassworm. كانت هذه القنوات، التي اعتمدت على بنى تحتية متنوعة بما في ذلك بلوكتشين Solana، وشبكة BitTorrent للند للند، وتقويم Google، والخوادم الافتراضية الخاصة (VPS)، حاسمة للقراصنة للحفاظ على الوصول إلى أجهزة الكمبيوتر المصابة ونشر المزيد من البرامج الضارة. من خلال قطع خطوط الاتصال هذه، أدت عملية التفكيك إلى شل قدرة شبكة الروبوتات على العمل وتوسيع نطاق وصولها الخبيث بشكل فعال. تؤكد هذه الحادثة على الاتجاه المتزايد حيث يركز مجرمو الإنترنت بشكل متزايد على المطورين وسلسلة توريد البرمجيات. شهدت الأشهر الأخيرة العديد من الهجمات البارزة، مثل حملة "Mini Shai-Hulud" التي اخترقت مطوراً في OpenAI، وهجوماً مشتبهاً به من كوريا الشمالية في مارس استهدف أداة تطوير البرمجيات مفتوحة المصدر الشهيرة Axios. بينما لم يتم الكشف عن السلطة القانونية أو التقنية التي عملت بموجبها CrowdStrike وشركاؤها في عملية التفكيك هذه، فإن مثل هذه الجهود المشتركة أصبحت ضرورية لمكافحة المشهد المتطور للتهديدات السيبرانية.