Bkav cảnh báo chiến dịch mã độc GlassWorm đã xâm nhập hàng trăm kho mã nguồn toàn cầu, đe dọa lập trình viên và tiềm ẩn nguy cơ lan rộng tại Việt Nam.

Chiều 25/3, Bkav phát đi cảnh báo về chiến dịch mã độc GlassWorm đang nhằm vào chuỗi cung ứng phần mềm trên phạm vi toàn cầu, với quy mô xâm nhập hàng trăm kho mã nguồn và ảnh hưởng tới số lượng lớn lập trình viên.
Theo các chuyên gia của Bkav, mã độc GlassWorm đã xâm nhập hơn 400 kho mã nguồn và tiện ích phần mềm trên các nền tảng phổ biến như GitHub, npm, VSCode/OpenVSX. Ước tính, hàng chục nghìn máy tính của lập trình viên đã bị nhiễm. Tin tặc lợi dụng các thiết bị này để làm bàn đạp, xâm nhập sâu hơn vào hệ thống doanh nghiệp, từ đó can thiệp vào mã nguồn và tiếp tục lây lan trong chuỗi cung ứng phần mềm.
Khác với các hình thức tấn công truyền thống dựa vào lỗ hổng bảo mật, GlassWorm khai thác tài khoản và token bị đánh cắp để chèn mã độc vào các kho mã hợp pháp. Những thay đổi này được ngụy trang như các bản cập nhật thông thường, khiến việc phát hiện trở nên khó khăn hơn.
Một điểm đáng chú ý là mã độc sử dụng các ký tự Unicode “vô hình” để che giấu lệnh độc hại, đồng thời tận dụng mạng blockchain Solana nhằm lưu trữ và truyền lệnh điều khiển. Cách thức này giúp hệ thống tấn công hoạt động theo mô hình phi tập trung, khó bị ngăn chặn.
Khi được kích hoạt, GlassWorm có khả năng đánh cắp nhiều loại dữ liệu nhạy cảm như ví tiền điện tử, khóa SSH, thông tin truy cập và dữ liệu hệ thống của lập trình viên, qua đó mở rộng xâm nhập vào mạng nội bộ của tổ chức.
Tại Việt Nam, nguy cơ lan rộng được đánh giá ở mức đáng lo ngại do nhiều doanh nghiệp công nghệ và startup sử dụng mã nguồn mở và các thư viện miễn phí. Nếu một thư viện phổ biến bị cài cắm mã độc, rủi ro có thể lan sang nhiều hệ thống thông qua các phụ thuộc phần mềm.
Trước tình hình này, Bkav khuyến cáo các tổ chức và lập trình viên cần tăng cường các biện pháp bảo mật như kiểm soát chặt chẽ phiên bản thư viện, áp dụng xác thực đa yếu tố, tích hợp công cụ quét mã tự động và triển khai các giải pháp bảo mật chuyên sâu cho hệ thống.
TT (tổng hợp)