-
09/04/2020
-
116
-
1.196 bài viết
GlassWorm: Mã độc tàng hình tự lây lan qua OpenVSX và VS Code
Một chiến dịch tấn công chuỗi cung ứng mới đang âm thầm nhắm vào các nhà phát triển phần mềm trên toàn cầu OpenVSX và Microsoft Visual Studio bằng phần mềm độc hại có tên GlassWorm đã được cài đặt ít nhất 35.800 lần, âm thầm biến các máy tính lập trình viên thành mắt xích trong một mạng tội phạm số.
Mã độc GlassWorm được các chuyên gia phát hiện khi phân tích một loạt extension bất thường trong kho OpenVSX. Điểm tinh vi của mã độc nằm ở việc giấu mã độc bằng các ký tự Unicode vô hình, khiến code độc hại “biến mất” khỏi tầm mắt lập trình viên, ngay cả khi họ kiểm tra thủ công trong trình chỉnh sửa mã nguồn.
GlassWorm không chỉ lây nhiễm một lần rồi “đi ngủ”, mà hoạt động theo kiểu “tự lây lan”. Sau khi xâm nhập, nó tiếp tục đánh cắp tài khoản của nạn nhân (GitHub, npm, OpenVSX…) để tải lên và phát tán các phiên bản extension bị nhiễm khác.
Ngay sau khi được cài đặt qua extension độc hại, GlassWorm sẽ:
Các chuyên gia xác nhận có ít nhất 12 extension bị nhiễm trên hai kho OpenVSX và VS Code, trong đó có các gói phổ biến như: Codejoy, recoil, better-nunjucks và cline-ai. Một số phiên bản nhiễm độc vẫn còn xuất hiện trên OpenVSX trong thời điểm báo cáo. Điểm gây sốc là VS Code có cơ chế auto-update, khiến hàng nghìn lập trình viên bị cập nhật “tự động nhiễm độc” mà không hề hay biết.
GlassWorm được đánh giá là một trong những cuộc tấn công supply-chain tinh vi nhất từng nhắm vào VS Code và cũng là worm đầu tiên được xác nhận trên nền tảng này. Khi các máy phát triển bị lợi dụng làm node độc hại, hậu quả có thể lan rộng tới:
Mã độc GlassWorm được các chuyên gia phát hiện khi phân tích một loạt extension bất thường trong kho OpenVSX. Điểm tinh vi của mã độc nằm ở việc giấu mã độc bằng các ký tự Unicode vô hình, khiến code độc hại “biến mất” khỏi tầm mắt lập trình viên, ngay cả khi họ kiểm tra thủ công trong trình chỉnh sửa mã nguồn.
GlassWorm không chỉ lây nhiễm một lần rồi “đi ngủ”, mà hoạt động theo kiểu “tự lây lan”. Sau khi xâm nhập, nó tiếp tục đánh cắp tài khoản của nạn nhân (GitHub, npm, OpenVSX…) để tải lên và phát tán các phiên bản extension bị nhiễm khác.
Ngay sau khi được cài đặt qua extension độc hại, GlassWorm sẽ:
- Ẩn mình bằng mã JavaScript chứa ký tự Unicode vô hình.
- Đánh cắp thông tin đăng nhập từ các nền tảng phát triển như GitHub, npm, OpenVSX.
- Trộm dữ liệu ví tiền mã hóa từ 49 extension liên quan đến crypto.
- Cài SOCKS proxy để sử dụng máy nạn nhân làm cổng chuyển tiếp lưu lượng độc hại.
- Cài VNC ẩn (HVNC) để điều khiển từ xa mà người dùng không biết.
- Kích hoạt payload cuối tên ZOMBI, biến máy lập trình viên thành node trong mạng lưới tội phạm.
Các chuyên gia xác nhận có ít nhất 12 extension bị nhiễm trên hai kho OpenVSX và VS Code, trong đó có các gói phổ biến như: Codejoy, recoil, better-nunjucks và cline-ai. Một số phiên bản nhiễm độc vẫn còn xuất hiện trên OpenVSX trong thời điểm báo cáo. Điểm gây sốc là VS Code có cơ chế auto-update, khiến hàng nghìn lập trình viên bị cập nhật “tự động nhiễm độc” mà không hề hay biết.
GlassWorm được đánh giá là một trong những cuộc tấn công supply-chain tinh vi nhất từng nhắm vào VS Code và cũng là worm đầu tiên được xác nhận trên nền tảng này. Khi các máy phát triển bị lợi dụng làm node độc hại, hậu quả có thể lan rộng tới:
- Hệ thống doanh nghiệp nơi lập trình viên làm việc
- Dự án mã nguồn chung (OSS, startup…)
- Blockchain, ví tiền mã hóa
- Chuỗi cung ứng phần mềm toàn cầu
- Gỡ bỏ hoặc kiểm tra ngay các extension đã được liệt kê.
- Tạm thời vô hiệu hóa auto-update extension.
- Đổi toàn bộ mật khẩu GitHub, npm, VSCode Marketplace, OpenVSX.
- Kiểm tra hoạt động bất thường: proxy, tiến trình lạ, kết nối Solana/BitTorrent.
- Tải lại các extension chỉ từ nguồn chính thức đã xác thực.
WhiteHat