CrowdStrike, phối hợp cùng Google và Shadowserver Foundation, đã thông báo về việc vô hiệu hóa đồng loạt tất cả các kênh điều khiển (C2) liên quan đến GlassWorm, một chiến dịch tấn công chuỗi cung ứng phần mềm dai dẳng nhắm vào các lập trình viên thông qua các gói mã và tiện ích mở rộng độc hại.
"Ít nhất từ đầu năm 2025, các đối tượng vận hành GlassWorm đã nhắm mục tiêu một cách có hệ thống vào các lập trình viên phần mềm - một nhóm đối tượng có quyền truy cập vào các kho lưu trữ mã nguồn, nền tảng đám mây, quy trình CI/CD và các kho lưu trữ gói phần mềm," CrowdStrike cho biết.
Sự phát triển này diễn ra trong bối cảnh các lập trình viên ngày càng trở thành mục tiêu béo bở cho các cuộc tấn công chuỗi cung ứng phần mềm, cho phép kẻ tấn công tận dụng một máy trạm bị xâm nhập duy nhất để tác động đến hàng nghìn tổ chức và người dùng hạ nguồn cùng một lúc.
Kể từ khi xuất hiện vào năm ngoái, GlassWorm đã thực hiện một "chiến dịch đa phương thức" sử dụng các tiện ích mở rộng VS Code đã bị cài Trojan, được xuất bản trên cả Microsoft VS Code Marketplace và Open VSX. Điều này cho phép chúng nhắm mục tiêu vào người dùng các bản fork của VS Code như Cursor, Positron, Windsurf và VSCodium.
Chiến dịch này cũng được biết đến với việc đưa mã độc thông qua các gói npm và Python bị xâm nhập. Mục tiêu cuối cùng của các cuộc tấn công là triển khai một khung đánh cắp dữ liệu với các khả năng thu thập thông tin đăng nhập, trích xuất ví tiền điện tử và thu thập hồ sơ hệ thống.
Các phiên bản tiếp theo của GlassWorm đã được phát hiện triển khai một RAT JavaScript dựa trên Websocket được gọi là GlassWormRAT để đánh cắp dữ liệu trình duyệt web và thực thi mã tùy ý, bao gồm cả việc cài đặt một tiện ích mở rộng Google Chrome để thu thập dữ liệu nhạy cảm như ảnh chụp màn hình, thao tác bàn phím (keystrokes) và nội dung khay nhớ tạm (clipboard) từ hệ thống bị nhiễm.
"Sau khi hoạt động, mã độc sẽ tìm kiếm trên máy chủ các thông tin đăng nhập của lập trình viên (GitHub, NPM, token OpenVSX, ví tiền điện tử), cho phép tiếp tục xâm nhập vào các kho lưu trữ và tải lên các gói phần mềm độc hại," nhà nghiên cứu Kiran Raj từ Endor Labs cho biết.
"Các máy chủ bị nhiễm được chuyển đổi thành hạ tầng bí mật: SOCKS proxies, máy chủ VNC ẩn (HVNC) và các nút thực thi từ xa (thông qua WebRTC hoặc các tiến trình Node.js được tạo ra). Điều đó cung cấp cho những kẻ tấn công quyền truy cập mạng ẩn danh vào mạng doanh nghiệp và cá nhân, đồng thời là nền tảng để tiếp tục phát tán."
Hạ tầng C2 linh hoạt và bền bỉ
Tổng cộng, các hoạt động độc hại được cho là đã đầu độc hơn 300 kho lưu trữ GitHub bằng cách sử dụng thông tin đăng nhập bị đánh cắp của lập trình viên. Điều làm cho chiến dịch này đáng chú ý là việc sử dụng bốn kênh C2 riêng biệt để tăng cường khả năng phục hồi:
- Sử dụng blockchain Solana làm điểm trung chuyển dữ liệu (dead drop) bằng cách lưu trữ địa chỉ máy chủ C2 trong các trường memo của các giao dịch blockchain.
- Truy vấn mạng ngang hàng BitTorrent Distributed Hash Table (DHT) để truy xuất dữ liệu cấu hình.
- Sử dụng Google Calendar như một điểm trung chuyển dữ liệu để lấy địa chỉ máy chủ C2 từ tiêu đề sự kiện.
- Kết nối trực tiếp đến hạ tầng C2 được lưu trữ trên các nhà cung cấp VPS thương mại.
"Sự kết hợp giữa blockchain, mạng ngang hàng và các dịch vụ web hợp pháp làm các lớp phân giải được thiết kế để chống lại các nỗ lực triệt phá - một mặt trận năng động bảo vệ các máy chủ C2 thực sự đằng sau nhiều lớp gián tiếp," CrowdStrike cho biết.
Kết quả của cuộc triệt phá là cả bốn kênh đã bị vô hiệu hóa đồng thời trong một nỗ lực phối hợp, để các máy bị nhiễm không còn có thể nhận các hướng dẫn hoặc tải trọng (payload) mới.
Mô tả các đối tượng vận hành GlassWorm là "có nguồn lực tốt và kiên trì", công ty an ninh mạng này cho rằng hoạt động này có khả năng do các tội phạm mạng có trụ sở tại Nga thực hiện, dựa trên việc mã độc ngừng thực thi trên các hệ thống nằm ở các quốc gia thuộc Cộng đồng các Quốc gia Độc lập (CIS) và chứa các chú thích bằng tiếng Nga.
Tầm quan trọng của an ninh chuỗi cung ứng
CrowdStrike kết luận: "Chuỗi cung ứng phần mềm vẫn là một trong những bề mặt tấn công quan trọng nhất trong điện toán hiện đại. Các đối thủ đang biến sự phụ thuộc của một tổ chức vào các công cụ, bản cập nhật và thư viện thành các cơ chế phân phối vũ khí và chất xúc tác sức mạnh."
"Rào cản để đầu độc một gói phần mềm hoặc tiện ích mở rộng là thấp, nhưng bán kính ảnh hưởng tiềm tàng là rất lớn. Chừng nào môi trường lập trình viên, quy trình xây dựng phần mềm và kho lưu trữ mã nguồn còn chưa được bảo vệ đầy đủ, mọi tổ chức tiêu thụ phần mềm đều phải gánh chịu rủi ro từ những người sản xuất ra nó. GlassWorm cho thấy những kẻ tấn công biết điều này và đang đầu tư vào hạ tầng bền bỉ để duy trì quyền truy cập lâu dài vào hệ sinh thái lập trình viên."