Эксперты по безопасности из Bkav Group подсчитали, что десятки тысяч компьютеров программистов были заражены GlassWorm. Атака вызвала цепную реакцию: хакеры превратили эти устройства в плацдармы для проникновения во внутренние корпоративные сети, манипулирования исходным кодом, а затем автоматического размножения и экспоненциального распространения вируса по всей глобальной цепочке поставок программного обеспечения, включая Вьетнам.
Эта кампания атак не была направлена на прямую эксплуатацию уязвимостей программного обеспечения. Вместо этого хакеры использовали украденные учетные записи и токены доступа для внедрения вредоносного кода в легитимный исходный код, которым делились программисты в репозиториях кода и на платформах для размещения программных утилит.
Вредоносные изменения вносятся под видом легитимных учетных записей или маскируются информацией об истории обновлений исходного кода (коммитах), включая автора, контент и время внесения изменений, аналогично легитимным обновлениям, что делает их нормальными и затрудняет визуальное обнаружение или предварительные проверки.
«Хакеры внедряют вредоносные команды непосредственно в «невидимые» символы Юникода в коде, превращая, казалось бы, пустые строки текста в скрытые инструменты атаки. При визуальном осмотре или предварительной проверке код выглядит совершенно нормально. Это затрудняет обнаружение аномалий как для программистов, так и для традиционных инструментов тестирования», — говорит Нгуен Динь Тхуй, эксперт по вредоносному ПО из компании Bkav.
Помимо внедрения вредоносного ПО в репозитории исходного кода, GlassWorm также использует методы внедрения «невидимых» символов Unicode в некоторых атаках для обхода автоматизированных систем проверки. Вместо использования обычных серверов, которые легко обнаружить и отключить, эта кампания использует блокчейн-сеть Solana для хранения и передачи команд управления. Это делает систему хакера децентрализованной и чрезвычайно сложной для остановки. Одновременно вредоносное ПО переключается между как минимум шестью IP-адресами серверов управления и контроля для поддержания связи и сокрытия своей активности.
При активации вредоносное ПО похищает конфиденциальные данные, такие как криптовалютные кошельки, ключи безопасности SSH, коды аутентификации доступа и системную информацию программистов, тем самым расширяя свое проникновение в системы организации. В частности, эта атака распространилась на повседневную рабочую среду программистов через инструменты разработки, расширения или зависимые сегменты кода, внедренные в вредоносное ПО.
Вьетнаме платформы вроде GitHub и npm широко используются в разработке продуктов, от веб- и мобильных приложений до корпоративных систем. Если в популярную библиотеку внедряется вредоносное ПО, риск может распространиться на многие отечественные программные проекты и корпоративные системы через зависимости, используемые программистами. Bkav советует программистам и технологическим организациям: закреплять версии и отключать автоматические обновления библиотек и расширений, чтобы предотвратить перекрестное заражение через новые обновления; интегрировать инструменты автоматического сканирования кода непосредственно в IDE или поток CI/CD для непрерывного сканирования и раннего обнаружения обфусцированного кода или скрытых символов; для репозиториев исходного кода требуется обязательная многофакторная аутентификация (MFA) и минимальные принципы авторизации; функция принудительной отправки отключена для критически важных веток; обеспечить 100% конечных точек профессиональным антивирусным программным обеспечением и сочетать его с передовыми решениями EDR/XDR для создания двойного уровня защиты, специально нацеленного на скрытое вредоносное ПО или вредоносное ПО, которое не оставляет файловых записей…
Источник: https://www.sggp.org.vn/glassworm-tan-cong-chuoi-cung-ung-phan-mem-post844638.html
![[Изображение] Вид автомагистрали Бьен Хоа-Вунг Тау перед её открытием.](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2026/03/25/1774430324663_ndo_br_2-resize-6064-jpg.webp)
Комментарий (0)