Bezpečnostní experti ze společnosti Bkav Group odhadují, že virem GlassWorm byly infikovány desítky tisíc počítačů programátorů. Útok vyvolal řetězovou reakci: hackeři proměnili tato zařízení v odrazové můstky pro pronikání do interních firemních sítí, manipulaci se zdrojovým kódem a následnou automatickou replikaci a exponenciální šíření viru v celém globálním dodavatelském řetězci softwaru, včetně Vietnamu.
Tato útočná kampaň se nezaměřovala na přímé zneužití softwarových zranitelností. Hackeři místo toho použili ukradené účty a přístupové tokeny k vložení škodlivého kódu do legitimního zdrojového kódu sdíleného programátory v repozitářích kódu a na platformách softwarových nástrojů.
Škodlivé změny jsou prováděny pod rouškou legitimních účtů nebo maskovány informacemi o historii aktualizací (commitů) zdrojového kódu, včetně autora, obsahu a času přispění, podobně jako legitimní aktualizace, takže se jeví jako normální a je obtížné je odhalit vizuálně nebo předběžnými kontrolami.
„Hackeři přímo vkládají škodlivé příkazy do ‚neviditelných‘ znaků Unicode v kódu, čímž zdánlivě prázdné řádky textu proměňují v nástroje pro skrytý útok. Při pohledu pouhým okem nebo během předběžných kontrol se kód jeví zcela normálně. To programátorům i tradičním testovacím nástrojům ztěžuje detekci jakýchkoli anomálií,“ řekl Nguyen Dinh Thuy, expert na malware ve společnosti Bkav.
Kromě vkládání malwaru do repozitářů zdrojového kódu používá GlassWorm v některých útočných metodách také „neviditelné“ techniky vkládání znaků Unicode, aby obešel automatizované ověřovací systémy. Namísto použití konvenčních serverů, které lze snadno detekovat a vypnout, tato kampaň využívá blockchainovou síť Solana k ukládání a přenosu řídicích příkazů. Díky tomu je systém hackera decentralizovaný a extrémně obtížné jej zastavit. Zároveň malware střídá nejméně šest IP adres serverů C2, aby udržoval komunikaci a skryl svou aktivitu.
Po aktivaci malware krade citlivá data, jako jsou kryptoměnové peněženky, bezpečnostní klíče SSH, kódy pro ověřování přístupu a systémové informace programátorů, čímž dále rozšiřuje své pronikání do systémů organizace. Tento útok se rozšířil zejména do každodenního pracovního prostředí programátorů prostřednictvím vývojových nástrojů, rozšíření nebo závislých segmentů kódu, do kterých je malware vložen.
Ve Vietnamu se platformy jako GitHub a npm široce používají při vývoji produktů, od webových a mobilních aplikací až po podnikové systémy. Pokud je populární knihovna infikována malwarem, riziko se může rozšířit do mnoha domácích softwarových projektů a podnikových systémů prostřednictvím závislostí používaných programátory. Bkav radí programátorům a technologickým organizacím, aby: Zafixovali verze a zakázali automatické aktualizace knihoven a rozšíření, aby se zabránilo křížové infekci prostřednictvím nových aktualizací. Integrovali automatizované nástroje pro skenování kódu přímo do IDE nebo CI/CD streamu pro průběžné skenování a včasnou detekci obfuskovaného kódu nebo skrytých znaků. Pro repozitáře zdrojového kódu je vyžadováno povinné vícefaktorové ověřování (MFA) a principy minimální autorizace; funkce force-push je zakázána na kritických větvích. Zajistili, aby 100 % koncových bodů bylo vybaveno profesionálním antivirovým softwarem, a kombinovali jej s pokročilými řešeními EDR/XDR, čímž vytvořili dvojitou vrstvu obrany, konkrétně zaměřenou na skrytý malware nebo malware, který nezanechává záznamy v souborech…
Zdroj: https://www.sggp.org.vn/glassworm-tan-cong-chuoi-cung-ung-phan-mem-post844638.html
![[Obrázek] Vzhled dálnice Bien Hoa-Vung Tau před jejím otevřením.](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2026/03/25/1774430324663_ndo_br_2-resize-6064-jpg.webp)
Komentář (0)