Especialistas em segurança do Bkav Group estimam que dezenas de milhares de computadores de programadores foram infectados pelo GlassWorm. O ataque criou uma reação em cadeia: hackers transformaram esses dispositivos em plataformas para penetrar em redes internas de empresas, manipular o código-fonte e, em seguida, replicar e disseminar o vírus exponencialmente por toda a cadeia de suprimentos de software global, incluindo o Vietnã.
Essa campanha de ataques não teve como foco a exploração direta de vulnerabilidades de software. Em vez disso, os hackers usaram contas roubadas e tokens de acesso para injetar código malicioso em código-fonte legítimo compartilhado por programadores em repositórios de código e plataformas de utilitários de software.
Alterações maliciosas são feitas sob o disfarce de contas legítimas ou disfarçadas com informações do histórico de atualizações (commits) do código-fonte, incluindo autor, conteúdo e data da contribuição, de forma semelhante às atualizações legítimas, fazendo com que pareçam normais e difíceis de detectar visualmente ou por meio de verificações preliminares.
“Os hackers inserem comandos maliciosos diretamente em caracteres Unicode ‘invisíveis’ no código, transformando linhas de texto aparentemente vazias em ferramentas de ataque secretas. Quando visualizado a olho nu ou durante verificações preliminares, o código parece completamente normal. Isso dificulta a detecção de anomalias tanto por programadores quanto por ferramentas de teste tradicionais”, disse Nguyen Dinh Thuy, especialista em malware da Bkav.
Além de injetar malware em repositórios de código-fonte, o GlassWorm também utiliza técnicas de injeção de caracteres Unicode "invisíveis" em alguns métodos de ataque para burlar sistemas de verificação automatizados. Em vez de usar servidores convencionais que são facilmente detectados e desativados, essa campanha explora a rede blockchain Solana para armazenar e transmitir comandos de controle. Isso torna o sistema do hacker descentralizado e extremamente difícil de parar. Simultaneamente, o malware alterna entre pelo menos seis endereços IP de servidores C2 para manter a comunicação e ocultar sua atividade.
Quando ativado, o malware rouba dados sensíveis, como carteiras de criptomoedas, chaves de segurança SSH, códigos de autenticação de acesso e informações do sistema do programador, ampliando ainda mais sua penetração nos sistemas da organização. Em particular, esse ataque se espalhou para o ambiente de trabalho diário dos programadores, por meio de ferramentas de desenvolvimento, extensões ou segmentos de código dependentes incorporados com o malware.
No Vietnã, plataformas como GitHub e npm são amplamente utilizadas no desenvolvimento de produtos, desde aplicativos web e mobile até sistemas corporativos. Se uma biblioteca popular for infectada por malware, o risco pode se espalhar para muitos projetos de software e sistemas corporativos nacionais por meio das dependências utilizadas pelos programadores. A Bkav recomenda que programadores e organizações de tecnologia: fixem versões e desativem as atualizações automáticas de bibliotecas e extensões para evitar infecções cruzadas por meio de novas atualizações; integrem ferramentas automatizadas de varredura de código diretamente no IDE ou fluxo de CI/CD para varredura contínua e detecção precoce de código ofuscado ou caracteres ocultos; para repositórios de código-fonte, a autenticação multifator (MFA) obrigatória e os princípios de autorização mínima são exigidos; a funcionalidade de push forçado deve ser desativada em branches críticos; garantam que 100% dos endpoints estejam equipados com software antivírus profissional e combinem-no com soluções avançadas de EDR/XDR para criar uma dupla camada de defesa, visando especificamente malware furtivo ou malware que não deixa rastros nos arquivos.
Fonte: https://www.sggp.org.vn/glassworm-tan-cong-chuoi-cung-ung-phan-mem-post844638.html
![[Imagem] Aspecto da rodovia Bien Hoa-Vung Tau antes de sua inauguração.](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2026/03/25/1774430324663_ndo_br_2-resize-6064-jpg.webp)
Comentário (0)