Các chuyên gia Bkav ước tính hiện có khoảng hàng chục nghìn máy lập trình viên đã nhiễm GlassWorm. Cuộc tấn công tạo ra phản ứng dây chuyền: tin tặc biến các thiết bị này thành bàn đạp thọc sâu vào mạng nội bộ doanh nghiệp, thao túng mã nguồn, từ đó tự động nhân bản, phát tán virus theo cấp số nhân ra toàn bộ chuỗi cung ứng phần mềm toàn cầu, trong đó có Việt Nam.
Chiến dịch tấn công này không tập trung vào việc khai thác trực tiếp các lỗ hổng phần mềm. Hacker sử dụng các tài khoản, token truy cập đánh cắp được, chèn mã độc vào các bộ mã nguồn hợp pháp do lập trình viên đã chia sẻ trên các kho mã nguồn và tiện ích phần mềm.
Các thay đổi độc hại được thực hiện dưới danh nghĩa các tài khoản hợp lệ hoặc được ngụy trang với thông tin lịch sử cập nhật mã nguồn (commit) bao gồm tác giả, nội dung và thời gian đóng góp, tương tự các bản cập nhật hợp pháp, khiến chúng trông giống các cập nhật bình thường và khó bị phát hiện bằng mắt hay qua kiểm tra sơ bộ.
Bên cạnh việc chèn mã độc vào các kho mã nguồn, trong một số hướng tấn công khác, GlassWorm còn sử dụng kỹ thuật chèn ký tự Unicode “vô hình” nhằm qua mặt các hệ thống kiểm tra tự động. Thay vì dùng máy chủ thông thường dễ bị phát hiện và đánh sập, chiến dịch này lợi dụng mạng blockchain Solana để lưu trữ và truyền các lệnh điều khiển. Điều này giúp hệ thống của hacker trở nên phi tập trung và cực kỳ khó bị ngăn chặn. Đồng thời, mã độc luân phiên sử dụng ít nhất 6 địa chỉ IP máy chủ C2 nhằm duy trì liên lạc và che giấu hoạt động.
“Hacker nhúng trực tiếp các lệnh phá hoại vào những ký tự Unicode “vô hình” trong đoạn mã, biến những dòng chữ tưởng trống rỗng thành công cụ tấn công ngầm. Khi nhìn bằng mắt thường hoặc khi kiểm tra sơ bộ, đoạn mã vẫn trông hoàn toàn bình thường. Điều này khiến cả lập trình viên lẫn các công cụ kiểm tra truyền thống khó phát hiện ra dấu hiệu bất thường”, ông Nguyễn Đình Thủy, chuyên gia mã độc của Bkav, cho biết.
Ảnh minh hoạ
Khi được kích hoạt, mã độc đánh cắp các dữ liệu nhạy cảm như ví tiền điện tử, khóa bảo mật SSH, mã xác thực truy cập và thông tin hệ thống của lập trình viên… từ đó tiếp tục mở rộng xâm nhập sâu hơn vào hệ thống của tổ chức. Đặc biệt, phạm vi tấn công này đã lan rộng sang môi trường làm việc hàng ngày của giới lập trình, thông qua các công cụ phát triển, tiện ích mở rộng hoặc các đoạn mã phụ thuộc bị nhúng mã độc.
Tại Việt Nam, nhiều doanh nghiệp công nghệ và startup, cũng bắt nhịp với xu hướng chung của thế giới, phát triển phần mềm dựa trên mã nguồn mở và các thư viện miễn phí. Các nền tảng như GitHub hay npm được sử dụng rộng rãi trong quá trình phát triển sản phẩm, từ ứng dụng web, ứng dụng di động cho đến hệ thống doanh nghiệp. Nếu một thư viện phổ biến bị chèn mã độc, rủi ro có thể lan sang nhiều dự án phần mềm và hệ thống doanh nghiệp trong nước thông qua các phụ thuộc (dependencies) mà lập trình viên sử dụng.
“GlassWorm phản ánh xu hướng tấn công dịch chuyển từ việc nhắm trực tiếp vào người dùng sang các nền tảng và công cụ phát triển phần mềm. Khi một thành phần trong chuỗi cung ứng bị nhiễm virus, hậu quả có thể lan rộng tới hàng nghìn hoặc hàng triệu người dùng cuối. Mức độ thiệt hại là không thể đo đếm. Người dùng và doanh nghiệp nên chủ động triển khai các giải pháp bảo mật chuyên sâu và phần mềm chống mã độc toàn diện, thay vì chỉ dựa vào công cụ mặc định của hệ điều hành vốn chỉ đáp ứng nhu cầu bảo vệ cơ bản và khó phát hiện các mối đe dọa tinh vi, ẩn mình lâu dài trong hệ thống”, ông Lê Tiến Thịnh, Giám đốc Sản phẩm An ninh mạng của Bkav, nhận định.
Trước nguy cơ trên, Bkav khuyến cáo các lập trình viên và tổ chức công nghệ:
- Ghim phiên bản và tắt cập nhật tự động đối với các thư viện và tiện ích mở rộng để ngăn mã độc lây nhiễm chéo qua các bản cập nhật mới
- Tích hợp công cụ quét mã tự động ngay trên IDE hoặc luồng CI/CD để rà quét liên tục, phát hiện sớm các đoạn mã bị làm rối (obfuscate) hoặc chứa ký tự tàng hình
- Đối với các kho mã nguồn, bắt buộc áp dụng xác thực đa yếu tố (MFA) và nguyên tắc phân quyền tối thiểu; khóa tính năng force-push trên các nhánh quan trọng
- Đảm bảo 100% thiết bị đầu cuối (endpoint) được cài đặt phần mềm diệt virus chuyên nghiệp, đồng thời kết hợp giải pháp nâng cao EDR/XDR để tạo lớp phòng thủ kép, chuyên trị các loại mã độc tàng hình hoặc không lưu file
- Khi có dấu hiệu bất thường, cần ngay lập tức đổi mật khẩu, thu hồi token truy cập và kiểm tra lại toàn bộ hoạt động của kho mã nguồn
