Eksperci ds. bezpieczeństwa z Bkav Group szacują, że dziesiątki tysięcy komputerów programistów zostało zainfekowanych GlassWormem. Atak wywołał reakcję łańcuchową: hakerzy wykorzystali te urządzenia jako trampoliny do penetracji wewnętrznych sieci korporacyjnych, manipulowania kodem źródłowym, a następnie automatycznej replikacji i wykładniczego rozprzestrzeniania wirusa w całym globalnym łańcuchu dostaw oprogramowania, w tym w Wietnamie.
Ta kampania ataków nie koncentrowała się na bezpośrednim wykorzystaniu luk w zabezpieczeniach oprogramowania. Zamiast tego hakerzy wykorzystali skradzione konta i tokeny dostępu do wstrzyknięcia złośliwego kodu do legalnego kodu źródłowego udostępnianego przez programistów w repozytoriach kodu i na platformach narzędziowych.
Złośliwe zmiany wprowadzane są pod przykrywką legalnych kont lub maskowane informacjami o historii aktualizacji kodu źródłowego (zatwierdzeń), obejmującymi autora, treść i czas wprowadzenia zmian, podobnie jak legalne aktualizacje. Sprawia to, że wydają się normalne i trudne do wykrycia wzrokowo lub poprzez wstępne kontrole.
„Hakerzy bezpośrednio osadzają złośliwe polecenia w „niewidzialnych” znakach Unicode w kodzie, zamieniając pozornie puste linie tekstu w ukryte narzędzia ataku. Oglądany gołym okiem lub podczas wstępnych kontroli, kod wygląda zupełnie normalnie. Utrudnia to zarówno programistom, jak i tradycyjnym narzędziom testowym wykrycie jakichkolwiek anomalii” – powiedział Nguyen Dinh Thuy, ekspert ds. złośliwego oprogramowania w Bkav.
Oprócz wstrzykiwania złośliwego oprogramowania do repozytoriów kodu źródłowego, GlassWorm wykorzystuje również „niewidzialne” techniki wstrzykiwania znaków Unicode w niektórych metodach ataku, aby ominąć automatyczne systemy weryfikacji. Zamiast korzystać z konwencjonalnych serwerów, które można łatwo wykryć i wyłączyć, ta kampania wykorzystuje sieć blockchain Solana do przechowywania i przesyłania poleceń sterujących. To sprawia, że system hakera jest zdecentralizowany i niezwykle trudny do zatrzymania. Jednocześnie złośliwe oprogramowanie przełącza się między co najmniej sześcioma adresami IP serwerów C2, aby utrzymać komunikację i ukryć swoją aktywność.
Po aktywacji złośliwe oprogramowanie kradnie poufne dane, takie jak portfele kryptowalut, klucze bezpieczeństwa SSH, kody uwierzytelniania dostępu i informacje o systemie programisty, rozszerzając w ten sposób swoją penetrację systemów organizacji. W szczególności atak ten rozprzestrzenił się na codzienne środowisko pracy programistów, poprzez narzędzia programistyczne, rozszerzenia lub zależne segmenty kodu osadzone w złośliwym oprogramowaniu.
W Wietnamie platformy takie jak GitHub i npm są szeroko wykorzystywane w rozwoju produktów, od aplikacji internetowych i mobilnych po systemy korporacyjne. Jeśli popularna biblioteka zostanie zainfekowana złośliwym oprogramowaniem, ryzyko może rozprzestrzenić się na wiele krajowych projektów oprogramowania i systemów korporacyjnych poprzez zależności używane przez programistów. Bkav radzi programistom i organizacjom technologicznym: Przypinać wersje i wyłączać automatyczne aktualizacje bibliotek i rozszerzeń, aby zapobiec krzyżowej infekcji poprzez nowe aktualizacje. Zintegrować automatyczne narzędzia do skanowania kodu bezpośrednio ze środowiskiem IDE lub strumieniem CI/CD, aby zapewnić ciągłe skanowanie i wczesne wykrywanie zaciemnionego kodu lub ukrytych znaków. W przypadku repozytoriów kodu źródłowego wymagane jest obowiązkowe uwierzytelnianie wieloskładnikowe (MFA) i zasady minimalnej autoryzacji; funkcja wymuszonego wypychania (force-push) jest wyłączona w krytycznych gałęziach. Upewnij się, że 100% punktów końcowych jest wyposażonych w profesjonalne oprogramowanie antywirusowe i połącz je z zaawansowanymi rozwiązaniami EDR/XDR, aby stworzyć podwójną warstwę ochrony, w szczególności ukierunkowaną na złośliwe oprogramowanie typu stealth lub takie, które nie pozostawia rekordów plików…
Źródło: https://www.sggp.org.vn/glassworm-tan-cong-chuoi-cung-ung-phan-mem-post844638.html
![[Grafika] Wygląd drogi ekspresowej Bien Hoa-Vung Tau przed jej otwarciem.](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2026/03/25/1774430324663_ndo_br_2-resize-6064-jpg.webp)
Komentarz (0)