Pakar keamanan di Bkav Group memperkirakan bahwa puluhan ribu komputer programmer telah terinfeksi GlassWorm. Serangan ini menciptakan reaksi berantai: peretas mengubah perangkat-perangkat ini menjadi landasan untuk menembus jaringan internal perusahaan, memanipulasi kode sumber, dan kemudian secara otomatis mereplikasi dan menyebarkan virus secara eksponensial di seluruh rantai pasokan perangkat lunak global, termasuk Vietnam.
Kampanye serangan ini tidak berfokus pada eksploitasi langsung kerentanan perangkat lunak. Sebaliknya, peretas menggunakan akun dan token akses yang dicuri untuk menyuntikkan kode berbahaya ke dalam kode sumber yang sah yang dibagikan oleh para programmer di repositori kode dan platform utilitas perangkat lunak.
Perubahan berbahaya dilakukan dengan menyamarkan akun yang sah atau disamarkan dengan informasi riwayat pembaruan kode sumber (commit) termasuk penulis, konten, dan waktu kontribusi, mirip dengan pembaruan yang sah, sehingga tampak normal dan sulit dideteksi secara visual atau melalui pemeriksaan awal.
“Peretas secara langsung menyematkan perintah berbahaya ke dalam karakter Unicode ‘tak terlihat’ dalam kode, mengubah baris teks yang tampak kosong menjadi alat serangan tersembunyi. Saat dilihat dengan mata telanjang atau selama pemeriksaan awal, kode tersebut tampak sepenuhnya normal. Hal ini menyulitkan baik programmer maupun alat pengujian tradisional untuk mendeteksi anomali apa pun,” kata Nguyen Dinh Thuy, seorang ahli malware di Bkav.
Selain menyuntikkan malware ke dalam repositori kode sumber, GlassWorm juga menggunakan teknik penyuntikan karakter Unicode "tak terlihat" dalam beberapa metode serangan untuk melewati sistem verifikasi otomatis. Alih-alih menggunakan server konvensional yang mudah dideteksi dan dimatikan, kampanye ini mengeksploitasi jaringan blockchain Solana untuk menyimpan dan mengirimkan perintah kontrol. Hal ini membuat sistem peretas terdesentralisasi dan sangat sulit dihentikan. Secara bersamaan, malware tersebut berganti-ganti antara setidaknya enam alamat IP server C2 untuk menjaga komunikasi dan menyembunyikan aktivitasnya.
Saat diaktifkan, malware ini mencuri data sensitif seperti dompet mata uang kripto, kunci keamanan SSH, kode otentikasi akses, dan informasi sistem programmer, sehingga semakin memperluas penetrasinya ke dalam sistem organisasi. Secara khusus, serangan ini telah menyebar ke lingkungan kerja sehari-hari para programmer, melalui alat pengembangan, ekstensi, atau segmen kode dependen yang disisipkan malware.
Di Vietnam, platform seperti GitHub dan npm banyak digunakan dalam pengembangan produk, mulai dari aplikasi web dan seluler hingga sistem perusahaan. Jika sebuah pustaka populer disuntikkan malware, risikonya dapat menyebar ke banyak proyek perangkat lunak domestik dan sistem perusahaan melalui dependensi yang digunakan oleh programmer. Bkav menyarankan programmer dan organisasi teknologi untuk: Mengunci versi dan menonaktifkan pembaruan otomatis untuk pustaka dan ekstensi untuk mencegah infeksi silang melalui pembaruan baru. Mengintegrasikan alat pemindaian kode otomatis langsung ke dalam IDE atau alur CI/CD untuk pemindaian berkelanjutan dan deteksi dini kode yang dienkripsi atau karakter tersembunyi. Untuk repositori kode sumber, otentikasi multi-faktor (MFA) wajib dan prinsip otorisasi minimum diperlukan; fungsi force-push dinonaktifkan pada cabang-cabang kritis. Memastikan 100% titik akhir dilengkapi dengan perangkat lunak antivirus profesional, dan menggabungkannya dengan solusi EDR/XDR canggih untuk menciptakan lapisan pertahanan ganda, khususnya menargetkan malware siluman atau malware yang tidak meninggalkan catatan file…
Sumber: https://www.sggp.org.vn/glassworm-tan-cong-chuoi-cung-ung-phan-mem-post844638.html
