Los expertos en seguridad de Bkav Group estiman que decenas de miles de ordenadores de programadores han sido infectados con GlassWorm. El ataque provocó una reacción en cadena: los hackers convirtieron estos dispositivos en plataformas para penetrar en las redes internas de las empresas, manipular el código fuente y, posteriormente, replicar y propagar automáticamente el virus de forma exponencial por toda la cadena de suministro global de software, incluido Vietnam.
Esta campaña de ataques no se centró en explotar directamente las vulnerabilidades del software. En cambio, los piratas informáticos utilizaron cuentas y tokens de acceso robados para inyectar código malicioso en el código fuente legítimo compartido por los programadores en repositorios de código y plataformas de utilidades de software.
Los cambios maliciosos se realizan bajo la apariencia de cuentas legítimas o se disfrazan con información del historial de actualizaciones del código fuente (commit), que incluye el autor, el contenido y la hora de contribución, de forma similar a las actualizaciones legítimas, lo que hace que parezcan normales y difíciles de detectar visualmente o mediante comprobaciones preliminares.
“Los hackers insertan directamente comandos maliciosos en caracteres Unicode ‘invisibles’ del código, convirtiendo líneas de texto aparentemente vacías en herramientas de ataque encubiertas. A simple vista o durante las comprobaciones preliminares, el código parece completamente normal. Esto dificulta que tanto los programadores como las herramientas de prueba tradicionales detecten anomalías”, afirmó Nguyen Dinh Thuy, experto en malware de Bkav.
Además de inyectar malware en los repositorios de código fuente, GlassWorm también utiliza técnicas de inyección de caracteres Unicode "invisibles" en algunos métodos de ataque para eludir los sistemas de verificación automatizados. En lugar de usar servidores convencionales, fáciles de detectar y desactivar, esta campaña explota la red blockchain Solana para almacenar y transmitir comandos de control. Esto descentraliza el sistema del atacante y lo hace extremadamente difícil de detener. Simultáneamente, el malware alterna entre al menos seis direcciones IP de servidores C2 para mantener la comunicación y ocultar su actividad.
Al activarse, el malware roba datos confidenciales como monederos de criptomonedas, claves de seguridad SSH, códigos de autenticación de acceso e información del sistema del programador, ampliando así su penetración en los sistemas de la organización. En particular, este ataque se ha extendido al entorno de trabajo diario de los programadores a través de herramientas de desarrollo, extensiones o segmentos de código dependientes que contienen malware.
En Vietnam, plataformas como GitHub y npm se utilizan ampliamente en el desarrollo de productos, desde aplicaciones web y móviles hasta sistemas empresariales. Si una biblioteca popular se infecta con malware, el riesgo puede extenderse a numerosos proyectos de software nacionales y sistemas empresariales a través de las dependencias utilizadas por los programadores. Bkav recomienda a los programadores y organizaciones tecnológicas: fijar versiones y deshabilitar las actualizaciones automáticas de bibliotecas y extensiones para prevenir la infección cruzada mediante nuevas actualizaciones. Integrar herramientas de escaneo de código automatizadas directamente en el IDE o el flujo de CI/CD para el escaneo continuo y la detección temprana de código ofuscado o caracteres ocultos. Para los repositorios de código fuente, se requiere autenticación multifactor (MFA) obligatoria y principios de autorización mínimos; la funcionalidad de envío forzado está deshabilitada en ramas críticas. Asegurar que el 100 % de los puntos finales estén equipados con software antivirus profesional y combinarlo con soluciones EDR/XDR avanzadas para crear una doble capa de defensa, dirigida específicamente al malware sigiloso o al malware que no deja registros de archivos.
Fuente: https://www.sggp.org.vn/glassworm-tan-cong-chuoi-cung-ung-phan-mem-post844638.html
![[Imagen] Aspecto de la autopista Bien Hoa-Vung Tau antes de su inauguración.](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2026/03/25/1774430324663_ndo_br_2-resize-6064-jpg.webp)
Kommentar (0)