Bkav Group'taki güvenlik uzmanları, on binlerce programcının bilgisayarının GlassWorm virüsüyle enfekte olduğunu tahmin ediyor. Saldırı bir zincirleme reaksiyon yarattı: Hackerlar bu cihazları, kurumsal iç ağlara sızmak, kaynak kodunu manipüle etmek ve ardından virüsü otomatik olarak çoğaltıp Vietnam da dahil olmak üzere tüm küresel yazılım tedarik zincirine katlanarak yaymak için birer sıçrama tahtası olarak kullandılar.
Bu saldırı kampanyası doğrudan yazılım güvenlik açıklarından yararlanmaya odaklanmadı. Bunun yerine, bilgisayar korsanları çalıntı hesapları ve erişim belirteçlerini kullanarak, programcılar tarafından kod depolarında ve yazılım yardımcı program platformlarında paylaşılan meşru kaynak koduna kötü amaçlı kod enjekte ettiler.
Kötü amaçlı değişiklikler, meşru hesaplar kılıfı altında veya kaynak kod güncelleme (commit) geçmişi bilgileriyle (yazar, içerik ve katkı zamanı dahil) gizlenerek yapılır; bu bilgiler meşru güncellemelere benzer ve görsel olarak veya ön kontroller yoluyla tespit edilmelerini zorlaştırır.
Bkav'da kötü amaçlı yazılım uzmanı olan Nguyen Dinh Thuy, "Hackerlar, kötü amaçlı komutları doğrudan koddaki 'görünmez' Unicode karakterlerine yerleştirerek, görünüşte boş metin satırlarını gizli saldırı araçlarına dönüştürüyorlar. Çıplak gözle veya ön kontroller sırasında bakıldığında, kod tamamen normal görünüyor. Bu da hem programcıların hem de geleneksel test araçlarının herhangi bir anormalliği tespit etmesini zorlaştırıyor" dedi.
GlassWorm, kaynak kod depolarına kötü amaçlı yazılım enjekte etmenin yanı sıra, otomatik doğrulama sistemlerini atlatmak için bazı saldırı yöntemlerinde "görünmez" Unicode karakter enjeksiyon tekniklerini de kullanıyor. Kolayca tespit edilip kapatılabilen geleneksel sunucular yerine, bu saldırı kampanyası kontrol komutlarını depolamak ve iletmek için Solana blok zinciri ağını kullanıyor. Bu, bilgisayar korsanının sistemini merkeziyetsiz ve durdurulması son derece zor hale getiriyor. Aynı zamanda, kötü amaçlı yazılım, iletişimi sürdürmek ve faaliyetini gizlemek için en az altı C2 sunucu IP adresi arasında geçiş yapıyor.
Etkinleştirildiğinde, kötü amaçlı yazılım kripto para cüzdanları, SSH güvenlik anahtarları, erişim kimlik doğrulama kodları ve programcı sistem bilgileri gibi hassas verileri çalarak kuruluşun sistemlerine daha da nüfuz etmektedir. Özellikle bu saldırı, kötü amaçlı yazılımla gömülü geliştirme araçları, eklentiler veya bağımlı kod parçaları aracılığıyla programcıların günlük çalışma ortamına yayılmıştır.
Vietnam'da GitHub ve npm gibi platformlar, web ve mobil uygulamalardan kurumsal sistemlere kadar ürün geliştirmede yaygın olarak kullanılmaktadır. Popüler bir kütüphaneye kötü amaçlı yazılım bulaşırsa, risk programcılar tarafından kullanılan bağımlılıklar aracılığıyla birçok yerli yazılım projesine ve kurumsal sisteme yayılabilir. Bkav, programcılara ve teknoloji kuruluşlarına şu tavsiyelerde bulunur: Yeni güncellemeler yoluyla çapraz bulaşmayı önlemek için kütüphaneler ve eklentiler için sürümleri sabitleyin ve otomatik güncellemeleri devre dışı bırakın. Gizlenmiş kodun veya gizli karakterlerin sürekli taranması ve erken tespiti için otomatik kod tarama araçlarını doğrudan IDE veya CI/CD akışına entegre edin. Kaynak kod depoları için zorunlu çok faktörlü kimlik doğrulama (MFA) ve minimum yetkilendirme ilkeleri gereklidir; kritik dallarda zorla itme işlevi devre dışı bırakılmalıdır. Uç noktaların %100'ünün profesyonel antivirüs yazılımıyla donatıldığından emin olun ve özellikle gizli kötü amaçlı yazılımları veya dosya kaydı bırakmayan kötü amaçlı yazılımları hedef alarak çift katmanlı bir savunma oluşturmak için bunu gelişmiş EDR/XDR çözümleriyle birleştirin…
Kaynak: https://www.sggp.org.vn/glassworm-tan-cong-chuoi-cung-ung-phan-mem-post844638.html
![[Resim] Bien Hoa-Vung Tau otoyolunun açılış öncesi görünümü.](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2026/03/25/1774430324663_ndo_br_2-resize-6064-jpg.webp)
Yorum (0)