Beveiligingsexperts van Bkav Group schatten dat tienduizenden computers van programmeurs besmet zijn geraakt met GlassWorm. De aanval veroorzaakte een kettingreactie: hackers gebruikten deze apparaten als springplank om interne bedrijfsnetwerken binnen te dringen, broncode te manipuleren en vervolgens het virus automatisch te repliceren en exponentieel te verspreiden over de gehele wereldwijde softwareleveringsketen, inclusief Vietnam.
Deze aanvalscampagne was niet gericht op het direct exploiteren van softwarekwetsbaarheden. In plaats daarvan gebruikten hackers gestolen accounts en toegangstokens om kwaadaardige code te injecteren in legitieme broncode die door programmeurs werd gedeeld op code repositories en softwareplatformen.
Kwaadwillige wijzigingen worden aangebracht onder het mom van legitieme accounts of vermomd met informatie over de updategeschiedenis (commit) van de broncode, zoals auteur, inhoud en tijdstip van bijdrage, vergelijkbaar met legitieme updates. Hierdoor lijken ze normaal en zijn ze moeilijk te detecteren, zowel visueel als via een eerste controle.
"Hackers verpakken kwaadaardige commando's rechtstreeks in 'onzichtbare' Unicode-tekens in de code, waardoor ogenschijnlijk lege tekstregels veranderen in verborgen aanvalsinstrumenten. Met het blote oog of tijdens een eerste controle lijkt de code volkomen normaal. Dit maakt het voor zowel programmeurs als traditionele testtools moeilijk om afwijkingen te detecteren," aldus Nguyen Dinh Thuy, malware-expert bij Bkav.
Naast het injecteren van malware in broncode-repositories, gebruikt GlassWorm in sommige aanvalsmethoden ook "onzichtbare" Unicode-tekeninjectietechnieken om geautomatiseerde verificatiesystemen te omzeilen. In plaats van conventionele servers te gebruiken die gemakkelijk te detecteren en uit te schakelen zijn, maakt deze campagne gebruik van het Solana blockchain-netwerk om besturingscommando's op te slaan en te verzenden. Dit maakt het systeem van de hacker gedecentraliseerd en extreem moeilijk te stoppen. Tegelijkertijd wisselt de malware tussen minstens zes C2-server-IP-adressen om de communicatie te onderhouden en zijn activiteiten te verbergen.
Eenmaal geactiveerd steelt de malware gevoelige gegevens zoals cryptowallets, SSH-beveiligingssleutels, toegangsverificatiecodes en informatie over programmeersystemen, waardoor de malware zich verder verspreidt binnen de systemen van de organisatie. Deze aanval heeft zich met name verspreid naar de dagelijkse werkomgeving van programmeurs, via ontwikkeltools, extensies of afhankelijke codefragmenten die met malware zijn ingebed.
In Vietnam worden platforms zoals GitHub en npm veelvuldig gebruikt voor productontwikkeling, van web- en mobiele applicaties tot bedrijfssystemen. Als een populaire bibliotheek geïnfecteerd raakt met malware, kan het risico zich via de afhankelijkheden van programmeurs verspreiden naar talloze binnenlandse softwareprojecten en bedrijfssystemen. Bkav adviseert programmeurs en technologieorganisaties om: Versies vast te zetten en automatische updates voor bibliotheken en extensies uit te schakelen om kruisbesmetting via nieuwe updates te voorkomen. Geautomatiseerde codescantools direct te integreren in de IDE of CI/CD-workflow voor continue scanning en vroege detectie van geobfusceerde code of verborgen tekens. Voor broncode-repositories zijn verplichte multi-factor authenticatie (MFA) en minimale autorisatieprincipes vereist; force-push functionaliteit moet worden uitgeschakeld voor kritieke branches. Zorg ervoor dat 100% van de endpoints is uitgerust met professionele antivirussoftware en combineer dit met geavanceerde EDR/XDR-oplossingen om een dubbele verdedigingslaag te creëren, specifiek gericht op stealth-malware of malware die geen sporen achterlaat.
Bron: https://www.sggp.org.vn/glassworm-tan-cong-chuoi-cung-ung-phan-mem-post844638.html
![[Afbeelding] Het uiterlijk van de snelweg Bien Hoa-Vung Tau vóór de opening.](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2026/03/25/1774430324663_ndo_br_2-resize-6064-jpg.webp)
Reactie (0)