An ninh mạng

Chiến dịch malware GlassWorm bị triệt phá: Cú đánh mạnh vào hạ tầng tấn công chuỗi cung ứng phần mềm

CrowdStrike cùng các đối tác vừa vô hiệu hóa thành công hạ tầng điều khiển của GlassWorm, một chiến dịch malware tinh vi nhắm vào các nhà phát triển phần mềm thông qua các gói thư viện và tiện ích mở...

Nguyen Hung
28 Tháng 5, 2026 2 Min Read
2 0

Một chiến dịch tấn công chuỗi cung ứng phần mềm quy mô lớn mang tên GlassWorm vừa bị vô hiệu hóa sau nỗ lực hợp tác giữa CrowdStrike, Google và Shadowserver Foundation. Chiến dịch này đã nhắm mục tiêu vào các nhà phát triển phần mềm từ đầu năm 2025, lợi dụng quyền truy cập của họ vào kho mã nguồn, nền tảng cloud và các pipeline CI/CD để thực hiện các hành vi độc hại.

Table Of Content

Phương thức tấn công tinh vi

GlassWorm không chỉ đơn thuần là một loại malware, mà là một chiến dịch đa tầng. Kẻ tấn công phát tán các tiện ích mở rộng (extension) độc hại trên VS Code Marketplace và Open VSX, nhắm vào người dùng của nhiều trình soạn thảo mã nguồn như VS Code, Cursor, Windsurf và VSCodium. Ngoài ra, mã độc còn được chèn vào các gói thư viện npm và Python.

Mục tiêu cuối cùng của GlassWorm là đánh cắp dữ liệu, thông tin đăng nhập, ví tiền điện tử và lập hồ sơ hệ thống. Phiên bản nâng cấp của malware này, được gọi là GlassWormRAT, có khả năng thực thi mã tùy ý, chụp ảnh màn hình, ghi lại thao tác bàn phím (keystroke) và đánh cắp nội dung clipboard từ máy tính bị nhiễm.

Hạ tầng C2 kiên cố

Điểm đáng chú ý nhất của GlassWorm là khả năng duy trì kết nối bền bỉ thông qua 4 kênh điều khiển (C2) khác nhau, giúp chúng chống lại các nỗ lực triệt phá:

  • Sử dụng blockchain Solana để lưu trữ địa chỉ server C2 trong các giao dịch.
  • Truy vấn mạng ngang hàng BitTorrent DHT để lấy cấu hình.
  • Sử dụng Google Calendar làm nơi lưu trữ địa chỉ C2 trong tiêu đề sự kiện.
  • Kết nối trực tiếp tới hạ tầng VPS thương mại.

CrowdStrike cho biết, các máy tính bị nhiễm đã bị biến thành các nút hạ tầng ngầm, bao gồm proxy SOCKS, server VNC ẩn (HVNC) và các nút thực thi từ xa, cho phép kẻ tấn công xâm nhập sâu vào mạng lưới doanh nghiệp. Hơn 300 kho mã nguồn trên GitHub đã bị chiếm quyền kiểm soát thông qua các thông tin đăng nhập bị đánh cắp.

Nguồn gốc và cảnh báo

Dựa trên các dấu vết kỹ thuật như việc malware tự động ngắt kết nối khi phát hiện hệ thống nằm trong khu vực CIS (Cộng đồng các Quốc gia Độc lập) và các đoạn mã bình luận bằng tiếng Nga, các chuyên gia nhận định nhóm đứng sau có khả năng là tội phạm mạng từ Nga.

Sự kiện này một lần nữa gióng lên hồi chuông cảnh báo về rủi ro trong chuỗi cung ứng phần mềm. Khi các môi trường phát triển và pipeline xây dựng phần mềm không được bảo vệ đúng mức, mọi tổ chức sử dụng phần mềm đều có nguy cơ trở thành nạn nhân tiếp theo của các cuộc tấn công tương tự.

Nguồn tham khảo: The Hacker News

Share Article

Nguyen Hung

No Comment! Be the first one.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Related Posts

Our site uses cookies. By using this site, you agree to the Privacy Policy and Terms of Use.

Accept