Các chuyên gia bảo mật của Tập đoàn Bkav ước tính hiện có khoảng hàng chục nghìn máy lập trình viên đã nhiễm GlassWorm. Cuộc tấn công tạo ra phản ứng dây chuyền: tin tặc biến các thiết bị này thành bàn đạp thọc sâu vào mạng nội bộ doanh nghiệp, thao túng mã nguồn, từ đó tự động nhân bản, phát tán virus theo cấp số nhân ra toàn bộ chuỗi cung ứng phần mềm toàn cầu, trong đó có Việt Nam.
Chiến dịch tấn công này không tập trung vào việc khai thác trực tiếp các lỗ hổng phần mềm. Hacker sử dụng các tài khoản, token truy cập đánh cắp được, chèn mã độc vào các bộ mã nguồn hợp pháp do lập trình viên đã chia sẻ trên các kho mã nguồn và tiện ích phần mềm.
Các thay đổi độc hại được thực hiện dưới danh nghĩa các tài khoản hợp lệ hoặc được ngụy trang với thông tin lịch sử cập nhật mã nguồn (commit) bao gồm tác giả, nội dung và thời gian đóng góp, tương tự các bản cập nhật hợp pháp, khiến chúng trông giống các cập nhật bình thường và khó bị phát hiện bằng mắt hay qua kiểm tra sơ bộ.
“Hacker nhúng trực tiếp các lệnh phá hoại vào những ký tự Unicode “vô hình” trong đoạn mã, biến những dòng chữ tưởng trống rỗng thành công cụ tấn công ngầm. Khi nhìn bằng mắt thường hoặc khi kiểm tra sơ bộ, đoạn mã vẫn trông hoàn toàn bình thường. Điều này khiến cả lập trình viên lẫn các công cụ kiểm tra truyền thống khó phát hiện ra dấu hiệu bất thường”, ông Nguyễn Đình Thủy, chuyên gia mã độc của Bkav cho biết.
Bên cạnh việc chèn mã độc vào các kho mã nguồn, trong một số hướng tấn công khác, GlassWorm còn sử dụng kỹ thuật chèn ký tự Unicode “vô hình” nhằm qua mặt các hệ thống kiểm tra tự động. Thay vì dùng máy chủ thông thường dễ bị phát hiện và đánh sập, chiến dịch này lợi dụng mạng blockchain Solana để lưu trữ và truyền các lệnh điều khiển. Điều này giúp hệ thống của hacker trở nên phi tập trung và cực kỳ khó bị ngăn chặn. Đồng thời, mã độc luân phiên sử dụng ít nhất 6 địa chỉ IP máy chủ C2 nhằm duy trì liên lạc và che giấu hoạt động.
Khi được kích hoạt, mã độc đánh cắp các dữ liệu nhạy cảm như ví tiền điện tử, khóa bảo mật SSH, mã xác thực truy cập và thông tin hệ thống của lập trình viên… từ đó tiếp tục mở rộng xâm nhập sâu hơn vào hệ thống của tổ chức. Đặc biệt, phạm vi tấn công này đã lan rộng sang môi trường làm việc hàng ngày của giới lập trình, thông qua các công cụ phát triển, tiện ích mở rộng hoặc các đoạn mã phụ thuộc bị nhúng mã độc.
Tại Việt Nam, các nền tảng như GitHub hay npm được sử dụng rộng rãi trong quá trình phát triển sản phẩm, từ ứng dụng web, ứng dụng di động cho đến hệ thống doanh nghiệp. Nếu một thư viện phổ biến bị chèn mã độc, rủi ro có thể lan sang nhiều dự án phần mềm và hệ thống doanh nghiệp trong nước thông qua các phụ thuộc (dependencies) mà lập trình viên sử dụng. Bkav khuyến cáo các lập trình viên và tổ chức công nghệ: Ghim phiên bản và tắt cập nhật tự động đối với các thư viện và tiện ích mở rộng để ngăn mã độc lây nhiễm chéo qua các bản cập nhật mới. Tích hợp công cụ quét mã tự động ngay trên IDE hoặc luồng CI/CD để rà quét liên tục, phát hiện sớm các đoạn mã bị làm rối (obfuscate) hoặc chứa ký tự tàng hình. Đối với các kho mã nguồn, bắt buộc áp dụng xác thực đa yếu tố (MFA) và nguyên tắc phân quyền tối thiểu; khóa tính năng force-push trên các nhánh quan trọng. Đảm bảo 100% thiết bị đầu cuối (endpoint) được cài đặt phần mềm diệt virus chuyên nghiệp, đồng thời kết hợp giải pháp nâng cao EDR/XDR để tạo lớp phòng thủ kép, chuyên trị các loại mã độc tàng hình hoặc không lưu file…
Nguồn: https://www.sggp.org.vn/glassworm-tan-cong-chuoi-cung-ung-phan-mem-post844638.html
![[Ảnh] Diện mạo cao tốc Biên Hòa-Vũng Tàu trước ngày thông xe](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2026/03/25/1774430324663_ndo_br_2-resize-6064-jpg.webp)
Bình luận (0)