کارشناسان امنیتی در گروه Bkav تخمین میزنند که دهها هزار کامپیوتر برنامهنویسان به GlassWorm آلوده شدهاند. این حمله یک واکنش زنجیرهای ایجاد کرد: هکرها این دستگاهها را به تخته پرشی برای نفوذ به شبکههای داخلی شرکتها، دستکاری کد منبع و سپس تکثیر خودکار و گسترش ویروس به صورت تصاعدی در کل زنجیره تأمین نرمافزار جهانی، از جمله ویتنام، تبدیل کردند.
این کمپین حمله مستقیماً بر سوءاستفاده از آسیبپذیریهای نرمافزاری تمرکز نداشت. در عوض، هکرها از حسابهای کاربری و توکنهای دسترسی سرقتشده برای تزریق کد مخرب به کد منبع قانونی که توسط برنامهنویسان در مخازن کد و پلتفرمهای ابزار نرمافزاری به اشتراک گذاشته شده بود، استفاده کردند.
تغییرات مخرب تحت پوشش حسابهای کاربری قانونی انجام میشوند یا مانند بهروزرسانیهای قانونی، خود را با اطلاعات تاریخچه بهروزرسانی (commit) کد منبع، شامل نویسنده، محتوا و زمان مشارکت، پنهان میکنند و باعث میشوند که عادی به نظر برسند و تشخیص بصری یا از طریق بررسیهای اولیه دشوار باشد.
نگوین دین توی، متخصص بدافزار در Bkav، گفت: «هکرها مستقیماً دستورات مخرب را در کاراکترهای یونیکد «نامرئی» در کد جاسازی میکنند و خطوط به ظاهر خالی متن را به ابزارهای حمله مخفی تبدیل میکنند. وقتی با چشم غیرمسلح یا در طول بررسیهای اولیه مشاهده میشوند، کد کاملاً طبیعی به نظر میرسد. این امر تشخیص هرگونه ناهنجاری را هم برای برنامهنویسان و هم برای ابزارهای تست سنتی دشوار میکند.»
علاوه بر تزریق بدافزار به مخازن کد منبع، GlassWorm همچنین از تکنیکهای تزریق کاراکتر یونیکد "نامرئی" در برخی از روشهای حمله برای دور زدن سیستمهای تأیید خودکار استفاده میکند. این کمپین به جای استفاده از سرورهای معمولی که به راحتی شناسایی و خاموش میشوند، از شبکه بلاکچین Solana برای ذخیره و انتقال دستورات کنترلی سوءاستفاده میکند. این امر سیستم هکر را غیرمتمرکز و متوقف کردن آن را بسیار دشوار میکند. همزمان، این بدافزار بین حداقل شش آدرس IP سرور C2 جابجا میشود تا ارتباط خود را حفظ کرده و فعالیت خود را پنهان کند.
این بدافزار پس از فعال شدن، دادههای حساسی مانند کیف پولهای ارز دیجیتال، کلیدهای امنیتی SSH، کدهای احراز هویت دسترسی و اطلاعات سیستم برنامهنویس را سرقت میکند و بدین ترتیب نفوذ خود را به سیستمهای سازمان گسترش میدهد. به طور خاص، این حمله از طریق ابزارهای توسعه، افزونهها یا بخشهای کد وابسته تعبیه شده در بدافزار، به محیط کار روزانه برنامهنویسان گسترش یافته است.
در ویتنام، پلتفرمهایی مانند GitHub و npm به طور گسترده در توسعه محصول، از برنامههای وب و موبایل گرفته تا سیستمهای سازمانی، مورد استفاده قرار میگیرند. اگر یک کتابخانه محبوب به بدافزار آلوده شود، خطر میتواند از طریق وابستگیهای مورد استفاده برنامهنویسان به بسیاری از پروژههای نرمافزاری داخلی و سیستمهای سازمانی گسترش یابد. Bkav به برنامهنویسان و سازمانهای فناوری توصیه میکند: نسخهها را پین کرده و بهروزرسانیهای خودکار کتابخانهها و افزونهها را غیرفعال کنید تا از آلودگی متقابل از طریق بهروزرسانیهای جدید جلوگیری شود. ابزارهای اسکن خودکار کد را مستقیماً در جریان IDE یا CI/CD ادغام کنید تا اسکن مداوم و تشخیص زودهنگام کدهای مبهم یا کاراکترهای پنهان انجام شود. برای مخازن کد منبع، احراز هویت چند عاملی اجباری (MFA) و اصول حداقل مجوز مورد نیاز است. قابلیت force-push در شاخههای حیاتی غیرفعال است. اطمینان حاصل کنید که ۱۰۰٪ نقاط پایانی به نرمافزار آنتیویروس حرفهای مجهز هستند و آن را با راهحلهای پیشرفته EDR/XDR ترکیب کنید تا یک لایه دفاعی دوگانه ایجاد کنید، به طور خاص بدافزارهای مخفی یا بدافزارهایی را که سوابق فایل را باقی نمیگذارند، هدف قرار دهید...
منبع: https://www.sggp.org.vn/glassworm-tan-cong-chuoi-cung-ung-phan-mem-post844638.html
![[تصویر] نمای بزرگراه بین هوا-وونگ تاو قبل از افتتاح.](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2026/03/25/1774430324663_ndo_br_2-resize-6064-jpg.webp)
نظر (0)