-
09/04/2020
-
118
-
1.249 bài viết
GlassWorm tái xuất: Mã độc Unicode vô hình lây nhiễm VS Code, lan sang GitHub
GlassWorm, chiến dịch mã độc tự lan truyền tinh vi, vừa tái xuất và lây nhiễm ba tiện ích mở rộng mới trên VS Code, cho thấy mức độ nguy hiểm đối với toàn bộ hệ sinh thái lập trình. Koi Security, đơn vị đầu tiên phát hiện Worm cho biết: làn sóng nhiễm mới xuất hiện chỉ 16 ngày sau khi OpenVSX tuyên bố sự cố đã được kiểm soát hoàn toàn vào ngày 21/10/2025. Đây không chỉ là mối đe dọa với các kho mã nguồn mà còn ảnh hưởng trực tiếp đến nhiều tổ chức trên toàn cầu tập trung tại Mỹ, Nam Mỹ, châu Âu, châu Á và một cơ quan chính phủ lớn ở Trung Đông.
Ngày 6/11/2025, Koi Security phát hiện Worm tấn công thêm ba tiện ích mở rộng trên OpenVSX:
Điểm nguy hiểm nhất của GlassWorm là chiêu ẩn mình bằng ký tự Unicode vô hình. Kẻ tấn công nhúng mã độc vào các ký tự Unicode không in được, nên đoạn mã “biến mất” khi nhìn bằng mắt thường nhưng vẫn được trình thông dịch thực thi như JavaScript. Kết quả là payload hòa lẫn hoàn toàn với mã hợp lệ, khiến cả lập trình viên và công cụ kiểm tra tự động khó hoặc không thể phát hiện kịp.
GlassWorm còn lan sang các kho GitHub, lợi dụng thông tin xác thực bị đánh cắp để đẩy các commit độc hại vào nhiều repository khác. Những commit này được tạo bằng AI, khiến payload ẩn mình trong mã hợp lệ, khó bị phát hiện cả bằng mắt thường lẫn công cụ tự động. Hạ tầng tấn công của Worm cho thấy khả năng tồn tại lâu dài. Kẻ tấn công tận dụng blockchain Solana làm kênh C2, đăng các giao dịch giá rẻ để cập nhật endpoint tải payload tiếp theo. Chiến lược này gần như bất khả triệt, vì ngay cả khi server chính bị vô hiệu hóa, chỉ cần một giao dịch mới với chi phí chưa đến một xu, tất cả máy bị nhiễm sẽ tự động lấy vị trí mới để tiếp tục hoạt động.
Kể cả sau các nỗ lực ngăn chặn, Worm vẫn duy trì hoạt động ổn định trên server điều khiển chính và endpoint exfiltration. Nhờ một endpoint bị lộ, Koi Security đã có thể tiếp cận dữ liệu, hé lộ quy mô thiệt hại thực tế đối với các tổ chức toàn cầu. Dữ liệu thu thập không chỉ là danh sách nạn nhân mà còn bao gồm keylogger của kẻ tấn công, cung cấp manh mối quan trọng để truy vết và làm sáng tỏ các mục tiêu bị xâm nhập. Những thông tin này cũng cảnh báo cộng đồng phát triển và quản trị viên về mức độ tinh vi và khả năng tồn tại lâu dài của GlassWorm.
Sự tái xuất của GlassWorm là lời cảnh báo nghiêm trọng cho cộng đồng an ninh mạng rằng các chiến dịch supply chain sử dụng mã Unicode vô hình vẫn là mối đe dọa đáng kể, không thể xem nhẹ và có khả năng ảnh hưởng sâu rộng đến toàn bộ hệ sinh thái lập trình.
Với khả năng tự lan truyền và tinh vi ngày càng cao, GlassWorm dự kiến sẽ tiếp tục là mối nguy hiểm trong tương lai. Các tổ chức và lập trình viên nên tăng cường kiểm tra mã nguồn, quản lý quyền truy cập, và áp dụng các biện pháp bảo mật chủ động để giảm thiểu rủi ro từ các cuộc tấn công chuỗi cung ứng.
Ngày 6/11/2025, Koi Security phát hiện Worm tấn công thêm ba tiện ích mở rộng trên OpenVSX:
- Ezoic ai-driven-dev.ai-driven-dev với 3.300 lượt tải
- adhamu.history-in-sublime-merge với 4.000 lượt tải
- yasuyuky.transient-emacs với 2.400 lượt tải
Điểm nguy hiểm nhất của GlassWorm là chiêu ẩn mình bằng ký tự Unicode vô hình. Kẻ tấn công nhúng mã độc vào các ký tự Unicode không in được, nên đoạn mã “biến mất” khi nhìn bằng mắt thường nhưng vẫn được trình thông dịch thực thi như JavaScript. Kết quả là payload hòa lẫn hoàn toàn với mã hợp lệ, khiến cả lập trình viên và công cụ kiểm tra tự động khó hoặc không thể phát hiện kịp.
GlassWorm còn lan sang các kho GitHub, lợi dụng thông tin xác thực bị đánh cắp để đẩy các commit độc hại vào nhiều repository khác. Những commit này được tạo bằng AI, khiến payload ẩn mình trong mã hợp lệ, khó bị phát hiện cả bằng mắt thường lẫn công cụ tự động. Hạ tầng tấn công của Worm cho thấy khả năng tồn tại lâu dài. Kẻ tấn công tận dụng blockchain Solana làm kênh C2, đăng các giao dịch giá rẻ để cập nhật endpoint tải payload tiếp theo. Chiến lược này gần như bất khả triệt, vì ngay cả khi server chính bị vô hiệu hóa, chỉ cần một giao dịch mới với chi phí chưa đến một xu, tất cả máy bị nhiễm sẽ tự động lấy vị trí mới để tiếp tục hoạt động.
Kể cả sau các nỗ lực ngăn chặn, Worm vẫn duy trì hoạt động ổn định trên server điều khiển chính và endpoint exfiltration. Nhờ một endpoint bị lộ, Koi Security đã có thể tiếp cận dữ liệu, hé lộ quy mô thiệt hại thực tế đối với các tổ chức toàn cầu. Dữ liệu thu thập không chỉ là danh sách nạn nhân mà còn bao gồm keylogger của kẻ tấn công, cung cấp manh mối quan trọng để truy vết và làm sáng tỏ các mục tiêu bị xâm nhập. Những thông tin này cũng cảnh báo cộng đồng phát triển và quản trị viên về mức độ tinh vi và khả năng tồn tại lâu dài của GlassWorm.
Sự tái xuất của GlassWorm là lời cảnh báo nghiêm trọng cho cộng đồng an ninh mạng rằng các chiến dịch supply chain sử dụng mã Unicode vô hình vẫn là mối đe dọa đáng kể, không thể xem nhẹ và có khả năng ảnh hưởng sâu rộng đến toàn bộ hệ sinh thái lập trình.
Với khả năng tự lan truyền và tinh vi ngày càng cao, GlassWorm dự kiến sẽ tiếp tục là mối nguy hiểm trong tương lai. Các tổ chức và lập trình viên nên tăng cường kiểm tra mã nguồn, quản lý quyền truy cập, và áp dụng các biện pháp bảo mật chủ động để giảm thiểu rủi ro từ các cuộc tấn công chuỗi cung ứng.
Theo Security Online