-
09/04/2020
-
122
-
1.385 bài viết
GlassWorm tái xuất với 24 extension độc hại tấn công VS Code và Open VSX
Một chiến dịch tấn công chuỗi cung ứng phần mềm mang tên GlassWorm vừa xuất hiện trở lại, gây lo ngại cho cộng đồng lập trình viên toàn cầu. Các chuyên gia an ninh mạng ghi nhận chiến dịch này đã xâm nhập Microsoft Visual Studio Marketplace và Open VSX, phát tán tổng cộng 24 extension giả mạo những công cụ lập trình phổ biến như: Flutter, React, Tailwind, Vim hay Vue. Mục tiêu của kẻ tấn công là đánh lừa người dùng cài đặt các extension này, từ đó chiếm quyền kiểm soát máy tính và thông tin nhạy cảm của họ.
GlassWorm lần đầu được phát hiện vào tháng 10/2025, với đặc điểm sử dụng blockchain Solana để quản lý lệnh điều khiển và tấn công (C2), đồng thời khai thác thông tin từ các tài khoản npm, Open VSX, GitHub, cũng như ví tiền điện tử của nạn nhân. Khi kẻ tấn công có được thông tin đăng nhập, chúng không chỉ tấn công người dùng mà còn lây lan malware sang các package khác, khiến chiến dịch giống như một “sâu phần mềm” thực sự. Mặc dù Microsoft và Open VSX đã cố gắng xóa các extension nguy hiểm, GlassWorm vẫn quay trở lại, nhắm đến cả repository trên GitHub.
24 extension bị phát hiện được thiết kế tinh vi, thường xuất hiện gần với các dự án chính thống để lừa lập trình viên cài đặt. Kẻ tấn công còn tăng giả số lượt tải, khiến các extension trông đáng tin cậy hơn. Khi extension được cài đặt, mã độc sẽ kích hoạt ngay sau lệnh “activate”, đồng thời ẩn mình để tránh các bộ lọc bảo mật. Một điểm mới của đợt này là việc nhúng Rust-based implant, gồm một DLL trên Windows và một thư viện động trên macOS, giúp malware có thể lấy thông tin C2 từ blockchain Solana hoặc thậm chí từ sự kiện Google Calendar, rồi tải xuống payload tiếp theo dưới dạng file JavaScript được mã hóa.
Chiến dịch GlassWorm nhắm vào các tiện ích lập trình phổ biến toàn cầu, nguy cơ ảnh hưởng lan sang môi trường phát triển trong nước là đáng lưu ý. Trong 24 tiện ích độc hại được phát hiện, duy nhất một tiện ích đã bị gỡ (prisma-inc.prisma-studio-assistance), còn lại chưa có thông tin rằng toàn bộ danh sách đã được xóa khỏi Marketplace, cho thấy nguy cơ vẫn tồn tại. Chiến dịch sử dụng implant Rust đa nền tảng, điều khiển qua Solana/Google Calendar và kỹ thuật Unicode ẩn thể hiện mức độ tinh vi cao .
Ảnh hưởng đối với người dùng là khá nghiêm trọng. Máy của lập trình viên bị nhiễm có thể trở thành nút điều khiển cho các hoạt động tội phạm, thông tin nhạy cảm như API key, token, mật khẩu hay dữ liệu tiền điện tử có thể bị đánh cắp. Phạm vi tấn công trải rộng trên hai marketplace phổ biến và GitHub, khiến nguy cơ lây lan nhanh và khó kiểm soát.
Các chuyên gia an ninh mạng WhiteHat nhận định GlassWorm đang tiếp tục mở rộng quy mô và mức độ tinh vi trong chuỗi tấn công vào hệ sinh thái lập trình. Việc kẻ tấn công tung ra 24 tiện ích giả mạo trên cả Visual Studio Marketplace và Open VSX trong thời gian rất ngắn, đồng thời tăng lượt tải giả và chèn mã độc ngay sau cơ chế activate, cho thấy đây là chiến dịch được chuẩn bị kỹ lưỡng, chủ đích nhắm vào lòng tin của cộng đồng phát triển. Các extension chứa implant Rust cho cả Windows và macOS, sử dụng kỹ thuật C2 dựa trên ví Solana và Google Calendar để né tránh giám sát cho thấy chiến dịch không chỉ mở rộng về bề rộng mà còn nâng cao chiều sâu tấn công.
Để giảm rủi ro, người dùng và các tổ chức nên lưu ý:
GlassWorm lần đầu được phát hiện vào tháng 10/2025, với đặc điểm sử dụng blockchain Solana để quản lý lệnh điều khiển và tấn công (C2), đồng thời khai thác thông tin từ các tài khoản npm, Open VSX, GitHub, cũng như ví tiền điện tử của nạn nhân. Khi kẻ tấn công có được thông tin đăng nhập, chúng không chỉ tấn công người dùng mà còn lây lan malware sang các package khác, khiến chiến dịch giống như một “sâu phần mềm” thực sự. Mặc dù Microsoft và Open VSX đã cố gắng xóa các extension nguy hiểm, GlassWorm vẫn quay trở lại, nhắm đến cả repository trên GitHub.
24 extension bị phát hiện được thiết kế tinh vi, thường xuất hiện gần với các dự án chính thống để lừa lập trình viên cài đặt. Kẻ tấn công còn tăng giả số lượt tải, khiến các extension trông đáng tin cậy hơn. Khi extension được cài đặt, mã độc sẽ kích hoạt ngay sau lệnh “activate”, đồng thời ẩn mình để tránh các bộ lọc bảo mật. Một điểm mới của đợt này là việc nhúng Rust-based implant, gồm một DLL trên Windows và một thư viện động trên macOS, giúp malware có thể lấy thông tin C2 từ blockchain Solana hoặc thậm chí từ sự kiện Google Calendar, rồi tải xuống payload tiếp theo dưới dạng file JavaScript được mã hóa.
Chiến dịch GlassWorm nhắm vào các tiện ích lập trình phổ biến toàn cầu, nguy cơ ảnh hưởng lan sang môi trường phát triển trong nước là đáng lưu ý. Trong 24 tiện ích độc hại được phát hiện, duy nhất một tiện ích đã bị gỡ (prisma-inc.prisma-studio-assistance), còn lại chưa có thông tin rằng toàn bộ danh sách đã được xóa khỏi Marketplace, cho thấy nguy cơ vẫn tồn tại. Chiến dịch sử dụng implant Rust đa nền tảng, điều khiển qua Solana/Google Calendar và kỹ thuật Unicode ẩn thể hiện mức độ tinh vi cao .
Ảnh hưởng đối với người dùng là khá nghiêm trọng. Máy của lập trình viên bị nhiễm có thể trở thành nút điều khiển cho các hoạt động tội phạm, thông tin nhạy cảm như API key, token, mật khẩu hay dữ liệu tiền điện tử có thể bị đánh cắp. Phạm vi tấn công trải rộng trên hai marketplace phổ biến và GitHub, khiến nguy cơ lây lan nhanh và khó kiểm soát.
Các chuyên gia an ninh mạng WhiteHat nhận định GlassWorm đang tiếp tục mở rộng quy mô và mức độ tinh vi trong chuỗi tấn công vào hệ sinh thái lập trình. Việc kẻ tấn công tung ra 24 tiện ích giả mạo trên cả Visual Studio Marketplace và Open VSX trong thời gian rất ngắn, đồng thời tăng lượt tải giả và chèn mã độc ngay sau cơ chế activate, cho thấy đây là chiến dịch được chuẩn bị kỹ lưỡng, chủ đích nhắm vào lòng tin của cộng đồng phát triển. Các extension chứa implant Rust cho cả Windows và macOS, sử dụng kỹ thuật C2 dựa trên ví Solana và Google Calendar để né tránh giám sát cho thấy chiến dịch không chỉ mở rộng về bề rộng mà còn nâng cao chiều sâu tấn công.
Để giảm rủi ro, người dùng và các tổ chức nên lưu ý:
- Các tổ chức và lập trình viên cần siết chặt quy trình kiểm tra nguồn gốc và tính toàn vẹn của tiện ích trước khi cài đặt.
- Không cài đặt các extension từ nguồn không rõ ràng hoặc gần giống với tên các công cụ phổ biến.
- Kiểm tra kỹ các phiên bản mới và đánh giá mức độ uy tín của nhà phát triển. Giám sát chặt hành vi bất thường của môi trường phát triển.
- Triển khai cơ chế kiểm soát truy cập vào kho mã nguồn và tài khoản liên quan; đồng thời cập nhật các cảnh báo từ Microsoft, Open VSX và các nhà cung cấp bảo mật để kịp thời loại bỏ hoặc vô hiệu hóa các extension có rủi ro.
- Sử dụng các công cụ bảo mật bổ sung để giám sát hành vi extension.
- Tránh lưu trữ thông tin nhạy cảm trực tiếp trên biến môi trường hoặc repository công khai.
WhiteHat