Một chiến dịch tấn công mới mang tên GlassWorm vừa được các nhà nghiên cứu bảo mật cảnh báo là đang phát tán mạnh trong cộng đồng lập trình viên sử dụng trình soạn thảo phổ biến như Visual Studio Code (VS Code) và chợ extension OpenVSX. Với khả năng ẩn mình bằng ký tự “vô hình” và tự lây lan qua các extension, mã độc này đã ảnh hưởng đến khoảng 35.800 lượt cài đặt chỉ trong thời gian ngắn.
Khác với các loại mã độc thông thường tấn công qua file thực thi hay link độc hại, GlassWorm lại ẩn nấp bên trong các extension lập trình – vốn là công cụ hỗ trợ gần như bắt buộc với nhiều developer. Khi extension bị nhiễm được tải về, mã độc sẽ chạy hoàn toàn “âm thầm” mà không gây nghi ngờ.
Điểm nguy hiểm nằm ở chỗ, GlassWorm sử dụng ký tự Unicode vô hình để che giấu mã độc, khiến việc phát hiện bằng mắt thường hay kiểm tra thủ công trở nên rất khó khăn.
Các nhà nghiên cứu đã mô tả chuỗi lây nhiễm của GlassWorm theo cách dễ hiểu như sau:
Khác với các loại mã độc thông thường tấn công qua file thực thi hay link độc hại, GlassWorm lại ẩn nấp bên trong các extension lập trình – vốn là công cụ hỗ trợ gần như bắt buộc với nhiều developer. Khi extension bị nhiễm được tải về, mã độc sẽ chạy hoàn toàn “âm thầm” mà không gây nghi ngờ.
Điểm nguy hiểm nằm ở chỗ, GlassWorm sử dụng ký tự Unicode vô hình để che giấu mã độc, khiến việc phát hiện bằng mắt thường hay kiểm tra thủ công trở nên rất khó khăn.
- Kẻ tấn công chỉnh sửa extension và nhúng mã độc bằng ký tự vô hình.
- Extension này được đăng tải lên OpenVSX hoặc bị lây vào tài khoản của lập trình viên đã bị chiếm quyền.
- Người dùng vô tình cài hoặc cập nhật extension nhiễm mã độc.
- Mã độc tiếp tục đánh cắp token của tài khoản GitHub, npm hoặc OpenVSX để lan rộng sang các extension khác.
- Một số phiên bản còn cài đặt proxy và phần mềm điều khiển từ xa như VNC, giúp hacker âm thầm kiểm soát thiết bị.
- Việc điều khiển được thực hiện qua các kênh sử dụng blockchain như Solana, khiến quá trình truy vết càng khó khăn hơn.
- VS Code
- OpenVSX hoặc chợ extension bên thứ ba
- Các extension ít phổ biến, nguồn không rõ ràng
- Chế độ auto-update extension mà không kiểm duyệt
- Kiểm tra danh sách extension đang cài và loại bỏ những plugin không rõ nguồn gốc
- Tạm thời tắt tự động cập nhật extension nếu sử dụng OpenVSX
- Chỉ cài extension từ nguồn uy tín và có nhiều đánh giá xác thực
- Theo dõi cảnh báo bảo mật từ Microsoft, GitHub hoặc các vendor bảo mật
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview