-
16/07/2025
-
1
-
27 bài viết
GlassWorm “lột xác”: Ẩn mã độc trong dependency, qua mặt kiểm duyệt chuỗi cung ứng phần mềm
Một chiến dịch mã độc nhắm vào cộng đồng lập trình viên đang cho thấy mức độ tiến hóa đáng lo ngại khi chuyển sang kỹ thuật “ký sinh trong phụ thuộc phần mềm (dependency)” biến các tiện ích mở rộng (extension) thành điểm trung chuyển phát tán mã độc trên diện rộng.
Theo phân tích từ Socket, ít nhất 72 extension độc hại trên Open VSX có liên quan đến họ mã độc GlassWorm cùng với hơn 20 mẫu khác chưa được xử lý triệt để. Điểm đáng chú ý không nằm ở số lượng, mà ở cách thức lây lan mới: tinh vi hơn, khó phát hiện hơn và mang tính hệ thống.
Theo phân tích từ Socket, ít nhất 72 extension độc hại trên Open VSX có liên quan đến họ mã độc GlassWorm cùng với hơn 20 mẫu khác chưa được xử lý triệt để. Điểm đáng chú ý không nằm ở số lượng, mà ở cách thức lây lan mới: tinh vi hơn, khó phát hiện hơn và mang tính hệ thống.
Ảnh: Brent Hofacker (Alamy)
Bước chuyển chiến thuật từ “gói cài độc hại” sang “phụ thuộc độc hại”
Trước đây, GlassWorm thường chèn trực tiếp mã độc vào extension. Tuy nhiên, ở biến thể mới, nó lợi dụng cơ chế khai báo thành phần đi kèm như extensionDependencies và extensionPack để gián tiếp tải mã độc về máy.
Hiểu đơn giản, người dùng có thể cài một extension trông hoàn toàn an toàn, nhưng extension này sẽ tự động kéo thêm một thành phần khác và chính thành phần đó mới chứa mã độc thực sự.
Cách làm này tạo ra một chuỗi cài đặt nhiều lớp, khiến việc kiểm tra từng gói riêng lẻ (phân tích tĩnh) trở nên kém hiệu quả. Đồng thời, toàn bộ quá trình cài đặt vô tình trở thành “đường dẫn lây nhiễm”.
Về bản chất, đây là một dạng tấn công chuỗi cung ứng gián tiếp, nơi mã độc không nằm ở phần cài đặt chính mà ẩn trong các mối liên kết phụ thuộc.
Hiểu đơn giản, người dùng có thể cài một extension trông hoàn toàn an toàn, nhưng extension này sẽ tự động kéo thêm một thành phần khác và chính thành phần đó mới chứa mã độc thực sự.
Cách làm này tạo ra một chuỗi cài đặt nhiều lớp, khiến việc kiểm tra từng gói riêng lẻ (phân tích tĩnh) trở nên kém hiệu quả. Đồng thời, toàn bộ quá trình cài đặt vô tình trở thành “đường dẫn lây nhiễm”.
Về bản chất, đây là một dạng tấn công chuỗi cung ứng gián tiếp, nơi mã độc không nằm ở phần cài đặt chính mà ẩn trong các mối liên kết phụ thuộc.
Cơ chế hoạt động nhắm vào máy lập trình viên
GlassWorm tập trung vào máy của lập trình viên, nơi lưu trữ nhiều dữ liệu quan trọng như mã nguồn, khóa truy cập, tài khoản và thông tin hệ thống.
Sau khi xâm nhập, mã độc sẽ âm thầm thu thập các thông tin này, từ đó chiếm quyền kiểm soát các dự án trên GitHub hoặc kho phần mềm như npm. Kẻ tấn công sau đó phát hành phiên bản phần mềm đã bị cài backdoor, tiếp tục lây lan sang những người dùng khác.
Điểm nguy hiểm là toàn bộ quá trình này diễn ra trong môi trường phát triển phần mềm hợp lệ, khiến việc phân biệt giữa hoạt động bình thường và hành vi tấn công trở nên rất khó khăn.
Sau khi xâm nhập, mã độc sẽ âm thầm thu thập các thông tin này, từ đó chiếm quyền kiểm soát các dự án trên GitHub hoặc kho phần mềm như npm. Kẻ tấn công sau đó phát hành phiên bản phần mềm đã bị cài backdoor, tiếp tục lây lan sang những người dùng khác.
Điểm nguy hiểm là toàn bộ quá trình này diễn ra trong môi trường phát triển phần mềm hợp lệ, khiến việc phân biệt giữa hoạt động bình thường và hành vi tấn công trở nên rất khó khăn.
Kỹ thuật né tránh ngày càng tinh vi
Không chỉ thay đổi cách lây lan, GlassWorm còn nâng cấp khả năng ẩn mình. Mã độc được chia nhỏ và tải theo nhiều bước, nhiều giai đoạn, chỉ hoạt động trong bộ nhớ để hạn chế để lại dấu vết trên ổ cứng.
Ngoài ra, nó còn có khả năng “lọc mục tiêu theo khu vực địa lý” để tránh bị phân tích và thường xuyên thay đổi hạ tầng hoạt động nhằm né tránh các hệ thống phát hiện.
Một điểm đáng chú ý là việc sử dụng blockchain Solana như một kênh trung gian để liên lạc với máy chủ điều khiển. Cách làm này khiến việc truy vết và vô hiệu hóa nguồn điều khiển trở nên phức tạp hơn so với phương thức truyền thống.
Các extension nhiễm GlassWorm thường giả mạo những công cụ phổ biến và tìm cách tạo độ tin cậy giả, chẳng hạn như tăng số lượt tải. Điều này đánh vào thói quen cài đặt nhanh, ít kiểm tra của nhiều lập trình viên.
Ngoài ra, nó còn có khả năng “lọc mục tiêu theo khu vực địa lý” để tránh bị phân tích và thường xuyên thay đổi hạ tầng hoạt động nhằm né tránh các hệ thống phát hiện.
Một điểm đáng chú ý là việc sử dụng blockchain Solana như một kênh trung gian để liên lạc với máy chủ điều khiển. Cách làm này khiến việc truy vết và vô hiệu hóa nguồn điều khiển trở nên phức tạp hơn so với phương thức truyền thống.
Các extension nhiễm GlassWorm thường giả mạo những công cụ phổ biến và tìm cách tạo độ tin cậy giả, chẳng hạn như tăng số lượt tải. Điều này đánh vào thói quen cài đặt nhanh, ít kiểm tra của nhiều lập trình viên.
Xu hướng mới: mã độc ẩn trong “mối quan hệ phần mềm”
GlassWorm cho thấy một xu hướng rõ rệt: mã độc không còn nằm ở file cài đặt chính mà ẩn trong các thành phần liên quan của phần mềm.
Điều này làm giảm hiệu quả của các biện pháp bảo mật truyền thống vốn chỉ kiểm tra từng gói riêng lẻ. Thay vào đó, toàn bộ “sơ đồ phụ thuộc” (dependency graph) của phần mềm mới là khu vực cần được kiểm soát.
Các tổ chức cần kiểm tra toàn bộ chuỗi phụ thuộc, không chỉ dừng ở phần mềm chính. Những thay đổi bất thường liên quan đến các thành phần phụ đi kèm cần được theo dõi chặt chẽ, đặc biệt trong quá trình cập nhật.
Đồng thời, việc phát hiện cũng nên chuyển sang hướng theo dõi hành vi, thay vì chỉ dựa vào dấu hiệu nhận diện sẵn có.
GlassWorm không còn là một chiến dịch mã độc đơn lẻ mà đang định hình một cách thức tấn công mới vào hệ sinh thái phát triển phần mềm. Khi các thành phần phụ trở thành nơi ẩn náu của mã độc, mỗi lần cài extension hoặc cập nhật phần mềm đều có thể kéo theo một rủi ro tiềm ẩn phía sau.
Điều này làm giảm hiệu quả của các biện pháp bảo mật truyền thống vốn chỉ kiểm tra từng gói riêng lẻ. Thay vào đó, toàn bộ “sơ đồ phụ thuộc” (dependency graph) của phần mềm mới là khu vực cần được kiểm soát.
Các tổ chức cần kiểm tra toàn bộ chuỗi phụ thuộc, không chỉ dừng ở phần mềm chính. Những thay đổi bất thường liên quan đến các thành phần phụ đi kèm cần được theo dõi chặt chẽ, đặc biệt trong quá trình cập nhật.
Đồng thời, việc phát hiện cũng nên chuyển sang hướng theo dõi hành vi, thay vì chỉ dựa vào dấu hiệu nhận diện sẵn có.
GlassWorm không còn là một chiến dịch mã độc đơn lẻ mà đang định hình một cách thức tấn công mới vào hệ sinh thái phát triển phần mềm. Khi các thành phần phụ trở thành nơi ẩn náu của mã độc, mỗi lần cài extension hoặc cập nhật phần mềm đều có thể kéo theo một rủi ro tiềm ẩn phía sau.