Säkerhetsexperter på Bkav Group uppskattar att tiotusentals programmerares datorer har infekterats med GlassWorm. Attacken skapade en kedjereaktion: hackare förvandlade dessa enheter till språngbrädor för att penetrera företagens interna nätverk, manipulera källkod och sedan automatiskt replikera och sprida viruset exponentiellt genom hela den globala mjukvaruleveranskedjan, inklusive Vietnam.
Denna attackkampanj fokuserade inte direkt på att utnyttja programvarusårbarheter. Istället använde hackare stulna konton och åtkomsttokens för att injicera skadlig kod i legitim källkod som delas av programmerare på koddatabaser och programvaruplattformar.
Skadliga ändringar görs under täckmantel av legitima konton eller maskeras med information om källkodens uppdateringshistorik (commit), inklusive författare, innehåll och bidragstid, liknande legitima uppdateringar, vilket gör att de ser normala ut och svåra att upptäcka visuellt eller genom preliminära kontroller.
”Hackare bäddar in skadliga kommandon direkt i ’osynliga’ Unicode-tecken i koden, vilket förvandlar till synes tomma textrader till hemliga attackverktyg. När koden ses med blotta ögat eller under preliminära kontroller ser den ut att vara helt normal. Detta gör det svårt för både programmerare och traditionella testverktyg att upptäcka eventuella avvikelser”, säger Nguyen Dinh Thuy, expert på skadlig kod på Bkav.
Förutom att injicera skadlig kod i källkodsdatabaser använder GlassWorm även "osynliga" Unicode-teckeninjiceringstekniker i vissa attackmetoder för att kringgå automatiserade verifieringssystem. Istället för att använda konventionella servrar som lätt upptäcks och stängs av, utnyttjar denna kampanj Solana blockchain-nätverket för att lagra och överföra kontrollkommandon. Detta gör hackarens system decentraliserat och extremt svårt att stoppa. Samtidigt växlar skadlig kod mellan minst sex C2-servrars IP-adresser för att upprätthålla kommunikation och dölja sin aktivitet.
När den aktiveras stjäl den skadliga programvaran känsliga uppgifter såsom kryptovalutaplånböcker, SSH-säkerhetsnycklar, autentiseringskoder för åtkomst och information om programmerares system, vilket ytterligare expanderar dess penetration i organisationens system. I synnerhet har denna attack spridit sig till programmerares dagliga arbetsmiljö, genom utvecklingsverktyg, tillägg eller beroende kodsegment som är inbäddade med skadlig kod.
I Vietnam används plattformar som GitHub och npm i stor utsträckning inom produktutveckling, från webb- och mobilapplikationer till företagssystem. Om ett populärt bibliotek injiceras med skadlig kod kan risken spridas till många inhemska programvaruprojekt och företagssystem genom de beroenden som används av programmerare. Bkav råder programmerare och teknikorganisationer att: Fästa versioner och inaktivera automatiska uppdateringar för bibliotek och tillägg för att förhindra korsinfektion genom nya uppdateringar. Integrera automatiserade kodskanningsverktyg direkt i IDE- eller CI/CD-strömmen för kontinuerlig skanning och tidig upptäckt av obfuskerad kod eller dolda tecken. För källkodsdatabaser krävs obligatorisk multifaktorautentisering (MFA) och minimiauktoriseringsprinciper; force-push-funktionalitet är inaktiverad på kritiska grenar. Säkerställ att 100 % av slutpunkterna är utrustade med professionell antivirusprogramvara och kombinera det med avancerade EDR/XDR-lösningar för att skapa ett dubbelt försvarslager, specifikt inriktat på stealth-skadlig kod eller skadlig kod som inte lämnar filposter…
Källa: https://www.sggp.org.vn/glassworm-tan-cong-chuoi-cung-ung-phan-mem-post844638.html
![[Bild] Utseendet på motorvägen Bien Hoa-Vung Tau innan den öppnades.](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2026/03/25/1774430324663_ndo_br_2-resize-6064-jpg.webp)
Kommentar (0)