Експерти з безпеки Bkav Group підрахували, що десятки тисяч комп'ютерів програмістів були заражені GlassWorm. Атака викликала ланцюгову реакцію: хакери перетворили ці пристрої на трампліни для проникнення у внутрішні мережі корпорацій, маніпулювання вихідним кодом, а потім автоматично реплікували та поширювали вірус експоненціально по всьому світовому ланцюжку поставок програмного забезпечення, включаючи В'єтнам.
Ця атакуюча кампанія не була зосереджена на безпосередньому використанні вразливостей програмного забезпечення. Натомість хакери використовували викрадені облікові записи та токени доступу для впровадження шкідливого коду в легітимний вихідний код, яким програмісти діляться в репозиторіях коду та на платформах програмних утиліт.
Шкідливі зміни вносяться під виглядом легітимних облікових записів або маскуються інформацією про історію оновлень (комітів) вихідного коду, включаючи автора, контент та час внеску, подібно до легітимних оновлень, що робить їх звичайними та важкими для виявлення візуально або за допомогою попередніх перевірок.
«Хакери безпосередньо вбудовують шкідливі команди в «невидимі» символи Unicode в коді, перетворюючи, здавалося б, порожні рядки тексту на приховані інструменти атаки. Якщо розглядати їх неозброєним оком або під час попередніх перевірок, код виглядає абсолютно нормальним. Це ускладнює виявлення будь-яких аномалій як програмістам, так і традиційним інструментам тестування», — сказав Нгуєн Дінь Туї, експерт зі шкідливого програмного забезпечення в Bkav.
Окрім впровадження шкідливого програмного забезпечення в репозиторії вихідного коду, GlassWorm також використовує «невидимі» методи впровадження символів Unicode в деяких методах атаки для обходу автоматизованих систем перевірки. Замість використання звичайних серверів, які легко виявляти та вимикати, ця кампанія використовує мережу блокчейну Solana для зберігання та передачі команд керування. Це робить систему хакера децентралізованою та надзвичайно важкою для зупинки. Одночасно шкідливе програмне забезпечення чергує щонайменше шість IP-адрес серверів C2, щоб підтримувати зв'язок та приховувати свою активність.
Після активації шкідливе програмне забезпечення викрадає конфіденційні дані, такі як криптовалютні гаманці, ключі безпеки SSH, коди автентифікації доступу та системну інформацію програміста, тим самим ще більше розширюючи своє проникнення в системи організації. Зокрема, ця атака поширилася на щоденне робоче середовище програмістів через інструменти розробки, розширення або залежні сегменти коду, в які вбудовано шкідливе програмне забезпечення.
У В'єтнамі такі платформи, як GitHub та npm, широко використовуються в розробці продуктів, від веб- та мобільних додатків до корпоративних систем. Якщо популярну бібліотеку заражають шкідливим програмним забезпеченням, ризик може поширитися на багато вітчизняних програмних проектів та корпоративних систем через залежності, що використовуються програмістами. Bkav радить програмістам та технологічним організаціям: Закріплювати версії та вимикати автоматичні оновлення для бібліотек і розширень, щоб запобігти перехресному зараженню через нові оновлення. Інтегрувати автоматизовані інструменти сканування коду безпосередньо в IDE або потік CI/CD для безперервного сканування та раннього виявлення обфусцованого коду або прихованих символів. Для репозиторіїв вихідного коду обов'язкова багатофакторна автентифікація (MFA) та принципи мінімальної авторизації; функція примусового розсилання вимкнена на критичних гілках. Забезпечити, щоб 100% кінцевих точок були оснащені професійним антивірусним програмним забезпеченням, та поєднати його з передовими рішеннями EDR/XDR для створення подвійного рівня захисту, спеціально спрямованого на приховане шкідливе програмне забезпечення або шкідливе програмне забезпечення, яке не залишає файлових записів…
Джерело: https://www.sggp.org.vn/glassworm-tan-cong-chuoi-cung-ung-phan-mem-post844638.html
![[Зображення] Зовнішній вигляд швидкісної автомагістралі Б'єн Хоа-Вунг Тау перед її відкриттям.](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2026/03/25/1774430324663_ndo_br_2-resize-6064-jpg.webp)
Коментар (0)