Sikkerhetseksperter hos Bkav Group anslår at titusenvis av programmereres datamaskiner har blitt infisert med GlassWorm. Angrepet skapte en kjedereaksjon: hackere gjorde disse enhetene om til springbrett for å trenge inn i bedriftens interne nettverk, manipulere kildekode og deretter automatisk replikere og spre viruset eksponentielt gjennom hele den globale programvareforsyningskjeden, inkludert Vietnam.
Denne angrepskampanjen fokuserte ikke direkte på å utnytte programvaresårbarheter. I stedet brukte hackere stjålne kontoer og tilgangstokener til å injisere ondsinnet kode i legitim kildekode som deles av programmerere på kodelagre og programvareplattformer.
Ondsinnede endringer gjøres under dekke av legitime kontoer eller kamufleres med informasjon om kildekodeoppdateringshistorikk (commit), inkludert forfatter, innhold og bidragstidspunkt, i likhet med legitime oppdateringer, noe som gjør at de virker normale og vanskelige å oppdage visuelt eller gjennom foreløpige kontroller.
«Hackere legger direkte inn ondsinnede kommandoer i «usynlige» Unicode-tegn i koden, og gjør tilsynelatende tomme tekstlinjer om til skjulte angrepsverktøy. Når koden sees med det blotte øye eller under innledende kontroller, ser den helt normal ut. Dette gjør det vanskelig for både programmerere og tradisjonelle testverktøy å oppdage eventuelle avvik», sa Nguyen Dinh Thuy, en skadevareekspert hos Bkav.
I tillegg til å injisere skadelig programvare i kildekodelagre, bruker GlassWorm også "usynlige" Unicode-tegninjeksjonsteknikker i noen angrepsmetoder for å omgå automatiserte verifiseringssystemer. I stedet for å bruke konvensjonelle servere som lett oppdages og stenges ned, utnytter denne kampanjen Solana-blokkjedenettverket til å lagre og overføre kontrollkommandoer. Dette gjør hackerens system desentralisert og ekstremt vanskelig å stoppe. Samtidig veksler skadelig programvare mellom minst seks C2-server-IP-adresser for å opprettholde kommunikasjon og skjule aktiviteten sin.
Når den aktiveres, stjeler skadevaren sensitive data som kryptovaluta-lommebøker, SSH-sikkerhetsnøkler, autentiseringskoder for tilgang og informasjon om programmerersystemer, og utvider dermed penetrasjonen i organisasjonens systemer ytterligere. Spesielt har dette angrepet spredt seg til programmerernes daglige arbeidsmiljø, gjennom utviklingsverktøy, utvidelser eller avhengige kodesegmenter som er innebygd med skadevaren.
I Vietnam er plattformer som GitHub og npm mye brukt i produktutvikling, fra web- og mobilapplikasjoner til bedriftssystemer. Hvis et populært bibliotek injiseres med skadelig programvare, kan risikoen spre seg til mange innenlandske programvareprosjekter og bedriftssystemer gjennom avhengighetene som brukes av programmerere. Bkav råder programmerere og teknologiorganisasjoner til å: Feste versjoner og deaktivere automatiske oppdateringer for biblioteker og utvidelser for å forhindre kryssinfeksjon gjennom nye oppdateringer. Integrere automatiserte kodeskanningsverktøy direkte i IDE- eller CI/CD-strømmen for kontinuerlig skanning og tidlig deteksjon av obfuskert kode eller skjulte tegn. For kildekodelagre kreves obligatorisk flerfaktorautentisering (MFA) og minimumsautorisasjonsprinsipper; force-push-funksjonalitet er deaktivert på kritiske grener. Sørg for at 100 % av endepunktene er utstyrt med profesjonell antivirusprogramvare, og kombiner det med avanserte EDR/XDR-løsninger for å lage et dobbelt lag med forsvar, spesielt rettet mot skjult skadelig programvare eller skadelig programvare som ikke etterlater filposter…
Kilde: https://www.sggp.org.vn/glassworm-tan-cong-chuoi-cung-ung-phan-mem-post844638.html
![[Bilde] Utseendet til motorveien Bien Hoa-Vung Tau før åpningen.](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2026/03/25/1774430324663_ndo_br_2-resize-6064-jpg.webp)
Kommentar (0)