Mã độc GlassWorm tấn công hơn 400 kho mã nguồn, đe dọa chuỗi cung ứng phần mềm toàn cầu
Mã độc GlassWorm tấn công 400 kho mã nguồn, đe dọa toàn cầu

Mã độc GlassWorm tấn công hơn 400 kho mã nguồn, đe dọa chuỗi cung ứng phần mềm toàn cầu

Chiến dịch phát tán mã độc GlassWorm đã xâm nhập vào hơn 400 kho mã nguồn và tiện ích phần mềm trên nhiều nền tảng lập trình phổ biến như GitHub, npm, VSCode/OpenVSX. Các chuyên gia Bkav ước tính hiện có khoảng hàng chục nghìn máy lập trình viên đã nhiễm GlassWorm, tạo ra phản ứng dây chuyền nghiêm trọng.

Kỹ thuật tấn công tinh vi và khó phát hiện

Cuộc tấn công này không tập trung vào việc khai thác trực tiếp các lỗ hổng phần mềm. Thay vào đó, hacker sử dụng các tài khoản và token truy cập đánh cắp được để chèn mã độc vào các bộ mã nguồn hợp pháp do lập trình viên chia sẻ trên các kho mã nguồn và tiện ích phần mềm. Các thay đổi độc hại được thực hiện dưới danh nghĩa các tài khoản hợp lệ hoặc được ngụy trang với thông tin lịch sử cập nhật mã nguồn, bao gồm tác giả, nội dung và thời gian đóng góp, tương tự các bản cập nhật hợp pháp. Điều này khiến chúng trông giống các cập nhật bình thường và khó bị phát hiện bằng mắt hay qua kiểm tra sơ bộ.

Bên cạnh đó, GlassWorm còn sử dụng kỹ thuật chèn ký tự Unicode “vô hình” nhằm qua mặt các hệ thống kiểm tra tự động. Ông Nguyễn Đình Thủy, chuyên gia mã độc của Bkav, giải thích: “Hacker nhúng trực tiếp các lệnh phá hoại vào những ký tự Unicode “vô hình” trong đoạn mã, biến những dòng chữ tưởng trống rỗng thành công cụ tấn công ngầm. Khi nhìn bằng mắt thường hoặc khi kiểm tra sơ bộ, đoạn mã vẫn trông hoàn toàn bình thường.”

Banner rộng Pickt — ứng dụng danh sách mua sắm cộng tác cho Telegram

Sử dụng công nghệ blockchain để tránh bị phát hiện

Thay vì dùng máy chủ thông thường dễ bị phát hiện và đánh sập, chiến dịch này lợi dụng mạng blockchain Solana để lưu trữ và truyền các lệnh điều khiển. Điều này giúp hệ thống của hacker trở nên phi tập trung và cực kỳ khó bị ngăn chặn. Đồng thời, mã độc luân phiên sử dụng ít nhất 6 địa chỉ IP máy chủ C2 nhằm duy trì liên lạc và che giấu hoạt động.

Khi được kích hoạt, mã độc đánh cắp các dữ liệu nhạy cảm như ví tiền điện tử, khóa bảo mật SSH, mã xác thực truy cập và thông tin hệ thống của lập trình viên. Từ đó, nó tiếp tục mở rộng xâm nhập sâu hơn vào hệ thống của tổ chức, biến các thiết bị nhiễm độc thành bàn đạp thọc sâu vào mạng nội bộ doanh nghiệp và thao túng mã nguồn.

Ảnh hưởng đến Việt Nam và khuyến cáo từ chuyên gia

Phạm vi tấn công này đã lan rộng sang môi trường làm việc hàng ngày của giới lập trình, thông qua các công cụ phát triển, tiện ích mở rộng hoặc các đoạn mã phụ thuộc bị nhúng mã độc. Tại Việt Nam, nhiều doanh nghiệp công nghệ và startup phát triển phần mềm dựa trên mã nguồn mở và các thư viện miễn phí từ các nền tảng như GitHub hay npm. Nếu một thư viện phổ biến bị chèn mã độc, rủi ro có thể lan sang nhiều dự án phần mềm và hệ thống doanh nghiệp trong nước thông qua các phụ thuộc mà lập trình viên sử dụng.

Ông Lê Tiến Thịnh, Giám đốc Sản phẩm An ninh mạng của Bkav, nhận định: “GlassWorm phản ánh xu hướng tấn công dịch chuyển từ việc nhắm trực tiếp vào người dùng sang các nền tảng và công cụ phát triển phần mềm. Khi một thành phần trong chuỗi cung ứng bị nhiễm virus, hậu quả có thể lan rộng tới hàng nghìn hoặc hàng triệu người dùng cuối. Mức độ thiệt hại là không thể đo đếm.”

Biện pháp phòng ngừa và ứng phó

Trước nguy cơ trên, Bkav khuyến cáo các lập trình viên và tổ chức công nghệ cần thực hiện các biện pháp sau:

Banner sau bài viết Pickt — ứng dụng danh sách mua sắm cộng tác với hình minh họa gia đình
  • Ghim phiên bản và tắt cập nhật tự động đối với các thư viện và tiện ích mở rộng để ngăn mã độc lây nhiễm chéo qua các bản cập nhật mới.
  • Tích hợp công cụ quét mã tự động ngay trên IDE hoặc luồng CI/CD để rà quét liên tục, phát hiện sớm các đoạn mã bị làm rối hoặc chứa ký tự tàng hình.
  • Đối với các kho mã nguồn, bắt buộc áp dụng xác thực đa yếu tố và nguyên tắc phân quyền tối thiểu; khóa tính năng force-push trên các nhánh quan trọng.
  • Bảo đảm 100% thiết bị đầu cuối được cài đặt phần mềm diệt virus chuyên nghiệp, đồng thời kết hợp giải pháp nâng cao EDR/XDR để tạo lớp phòng thủ kép.
  • Khi có dấu hiệu bất thường, cần ngay lập tức đổi mật khẩu, thu hồi token truy cập và kiểm tra lại toàn bộ hoạt động của kho mã nguồn.

Ông Thịnh nhấn mạnh: “Người dùng và doanh nghiệp nên chủ động triển khai các giải pháp bảo mật chuyên sâu và phần mềm chống mã độc toàn diện, thay vì chỉ dựa vào công cụ mặc định của hệ điều hành.”