- قامت CrowdStrike وGoogle وShadowserver معًا بإسقاط شبكة الروبوتات Glassworm في 26 مايو 2026، مع تعطيل جميع قنوات C2 الأربع المرنة الخاصة بها
- نشط منذ أوائل عام 2025، انتشر Glassworm عبر امتدادات VSCode المصابة بفيروس طروادة، وحزم npm/Python المسمومة، واختراق مستودعات GitHub، وسرقة بيانات اعتماد المطورين، ونشر GlasswormRAT على أنظمة التشغيل Windows، وmacOS، وLinux.
- تسلط عملية الإزالة الضوء على تحول في تركيز التهديدات من المنتجات إلى المطورين، مع الدقة المنسقة المطلوبة لتحييد البنية التحتية القائمة على blockchain وBitTorrent DHT وGoogle Calendar وVPS
تعاون باحثو الأمن السيبراني من CrowdStrike وGoogle ومؤسسة Shadowsever للقضاء على شبكة الروبوتات الرئيسية التي تستهدف مطوري البرامج حول العالم.
في إعلانوقالت الشركة في 26 مايو 2026 إن فريق العمل أغلق شبكة روبوتات Glassworm أثناء تعطيل جميع قنوات C2 الأربع الخاصة بها.
إن Glassworm عبارة عن شبكة روبوتات عالمية كانت نشطة منذ أوائل عام 2025 على الأقل ويتم تشغيلها من قبل مجرمين متمرسين ذوي مصادر جيدة، ومن المحتمل أن يكون مقرهم في روسيا. لقد استهدف مطوري البرامج على وجه التحديد من خلال سلسلة التوريد مفتوحة المصدر، ويرجع ذلك إلى حد كبير إلى ما يمكنهم الوصول إليه: مستودعات التعليمات البرمجية المصدر، والمنصات السحابية، وخطوط أنابيب CI/CD، وسجلات الحزم.
القتل لا يمكن قتله
وأوضح CrowdStrike أن “عملية الإزالة هذه لها أهمية تتجاوز شبكة الروبوتات. لقد بشرت شركة Glassworm بتحول كبير في مشهد التهديدات الذي يجب أن يحفز كل مؤسسة توفر البرامج أو تستخدمها”. “لم يعد الخصوم يركزون فقط على المنتجات، بل على المطورين الذين يقومون بإنشائها.”
انتشرت شبكة الروبوتات من خلال امتدادات VSCode الموبوءة بأحصنة طروادة، وتسرب التعليمات البرمجية الضارة إلى حزم npm وPython، ومستودعات GitHub المسمومة (300 منها على الأقل). ال سرقت البرامج الضارة المعلومات، وجمعت بيانات الاعتماد (رموز GitHub، ورموز npm، ومفاتيح SSH، ومصادقة VSCode) ونشرت أداة وصول عن بعد كاملة الميزات تسمى GlasswormRAT، مما أثر على أنظمة Windows وmacOS وLinux.
استخدمت بنية C2 الخاصة بالروبوتات أربع قنوات: Solana blockchain، وBitTorrent DHT، وعناوين أحداث تقويم Google، وخوادم VPS التقليدية – وكلها مصممة لتكون مقاومة لمحاولات الإزالة التقليدية. أكسب هذا المزيج Glassworm لقب “شبكة الروبوتات التي لا يمكن قتلها” وضمن “الدقة والتوقيت” لعمليات الإزالة.
وأوضح CrowdStrike أن “تعطيل قناة واحدة فقط سيؤدي إلى تشغيل القنوات المتبقية، مما يسمح للمشغلين بالتعافي بسرعة”. “كجزء من جهد منسق، كان من الضروري مقاطعة جميع القنوات الأربع في وقت واحد. ونتيجة لذلك، لم تعد الأجهزة المصابة قادرة على تلقي تعليمات أو حمولات جديدة.
أفضل برامج مكافحة الفيروسات لكل ميزانية
اتبع TechRadar على أخبار جوجل و أضفنا كمصدرك المفضل لتلقي أخبار ومراجعات وآراء الخبراء حول قنواتك.
