Sicherheitsexperten der Bkav Group schätzen, dass Zehntausende Programmiererrechner mit GlassWorm infiziert wurden. Der Angriff löste eine Kettenreaktion aus: Hacker nutzten diese Geräte als Sprungbrett, um in interne Unternehmensnetzwerke einzudringen, Quellcode zu manipulieren und den Virus anschließend automatisch zu replizieren und exponentiell in der gesamten globalen Software-Lieferkette, einschließlich Vietnam, zu verbreiten.
Diese Angriffskampagne zielte nicht darauf ab, Software-Schwachstellen direkt auszunutzen. Stattdessen nutzten Hacker gestohlene Konten und Zugriffstoken, um Schadcode in legitimen Quellcode einzuschleusen, der von Programmierern auf Code-Repositories und Software-Plattformen geteilt wurde.
Böswillige Änderungen werden unter dem Deckmantel legitimer Konten vorgenommen oder mit Informationen aus dem Quellcode-Updateverlauf (Commit-Verlauf) getarnt, einschließlich Autor, Inhalt und Beitragszeitpunkt, ähnlich wie bei legitimen Updates, sodass sie normal erscheinen und visuell oder durch erste Prüfungen schwer zu erkennen sind.
„Hacker betten Schadcode direkt in ‚unsichtbare‘ Unicode-Zeichen im Quellcode ein und verwandeln so scheinbar leere Textzeilen in versteckte Angriffswerkzeuge. Bei der Betrachtung mit bloßem Auge oder bei ersten Prüfungen erscheint der Code völlig normal. Dies erschwert es sowohl Programmierern als auch herkömmlichen Testwerkzeugen, Anomalien zu erkennen“, so Nguyen Dinh Thuy, Malware-Experte bei Bkav.
Neben dem Einschleusen von Schadsoftware in Quellcode-Repositories nutzt GlassWorm in einigen Angriffsmethoden auch „unsichtbare“ Unicode-Zeichen-Injektionstechniken, um automatisierte Verifizierungssysteme zu umgehen. Anstatt herkömmliche Server zu verwenden, die leicht erkannt und abgeschaltet werden können, nutzt diese Kampagne das Solana-Blockchain-Netzwerk, um Steuerbefehle zu speichern und zu übertragen. Dadurch wird das System des Hackers dezentralisiert und extrem schwer zu stoppen. Gleichzeitig wechselt die Schadsoftware zwischen mindestens sechs C2-Server-IP-Adressen, um die Kommunikation aufrechtzuerhalten und ihre Aktivitäten zu verschleiern.
Nach der Aktivierung stiehlt die Schadsoftware sensible Daten wie Kryptowährungs-Wallets, SSH-Sicherheitsschlüssel, Zugangscodes und Systeminformationen von Programmierern und dringt so weiter in die Systeme des Unternehmens ein. Insbesondere hat sich dieser Angriff über Entwicklungswerkzeuge, Erweiterungen oder abhängige Codeabschnitte, die mit Schadsoftware behaftet sind, auf die tägliche Arbeitsumgebung von Programmierern ausgebreitet.
In Vietnam sind Plattformen wie GitHub und npm in der Produktentwicklung weit verbreitet – von Web- und Mobilanwendungen bis hin zu Unternehmenssystemen. Wird eine gängige Bibliothek mit Malware infiziert, kann sich das Risiko über die von Programmierern verwendeten Abhängigkeiten auf zahlreiche inländische Softwareprojekte und Unternehmenssysteme ausbreiten. Bkav empfiehlt Programmierern und Technologieunternehmen Folgendes: Fixieren Sie Versionen und deaktivieren Sie automatische Updates für Bibliotheken und Erweiterungen, um eine gegenseitige Infektion durch neue Updates zu verhindern. Integrieren Sie automatisierte Code-Scanning-Tools direkt in die IDE oder den CI/CD-Prozess, um kontinuierlich zu scannen und verschleierten Code oder versteckte Zeichen frühzeitig zu erkennen. Für Quellcode-Repositories sind eine obligatorische Multi-Faktor-Authentifizierung (MFA) und minimale Autorisierungsprinzipien erforderlich; die Force-Push-Funktion ist für kritische Branches deaktiviert. Stellen Sie sicher, dass alle Endpunkte mit professioneller Antivirensoftware ausgestattet sind und kombinieren Sie diese mit fortschrittlichen EDR/XDR-Lösungen, um eine doppelte Verteidigungsebene zu schaffen, die speziell auf Stealth-Malware oder Malware abzielt, die keine Dateispuren hinterlässt.
Quelle: https://www.sggp.org.vn/glassworm-tan-cong-chuoi-cung-ung-phan-mem-post844638.html
![[Bild] Das Aussehen der Schnellstraße Bien Hoa-Vung Tau vor ihrer Eröffnung.](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2026/03/25/1774430324663_ndo_br_2-resize-6064-jpg.webp)
Kommentar (0)