Các nhà nghiên cứu an ninh mạng đã tiết lộ một bộ ba tiện ích mở rộng mới liên quan đến chiến dịch GlassWorm, cho thấy những nỗ lực tiếp tục của các tác nhân đe dọa nhằm nhắm mục tiêu vào hệ sinh thái Visual Studio Code (VS Code).
Các tiện ích mở rộng đang được đề cập, hiện vẫn có sẵn để tải xuống, bao gồm:
- ai-driven-dev.ai-driven-dev (3.402 lượt tải xuống)
- adhamu.history-in-sublime-merge (4.057 lượt tải xuống)
- yasuyuky.transient-emacs (2.431 lượt tải xuống)
GlassWorm, được Koi Security ghi nhận lần đầu vào cuối tháng trước, đề cập đến một chiến dịch trong đó các tác nhân đe dọa lợi dụng các tiện ích mở rộng VS Code trên Open VSX Registry và Microsoft Extension Marketplace để thu thập thông tin đăng nhập Open VSX, GitHub và Git, rút tiền từ 49 tiện ích mở rộng ví tiền điện tử khác nhau và thả các công cụ bổ sung để truy cập từ xa.
Điểm đáng chú ý của phần mềm độc hại này là nó sử dụng các ký tự Unicode vô hình để ẩn mã độc trong các trình soạn thảo mã và lạm dụng thông tin đăng nhập bị đánh cắp để xâm phạm các tiện ích mở rộng bổ sung, mở rộng phạm vi tấn công, từ đó tạo ra một chu trình tự sao chép cho phép nó lây lan theo kiểu worm.
Để đáp lại những phát hiện này, Open VSX cho biết họ đã xác định và gỡ bỏ tất cả các tiện ích mở rộng độc hại, cùng với việc xoay vòng hoặc thu hồi các token liên quan kể từ ngày 21 tháng 10 năm 2025. Tuy nhiên, báo cáo mới nhất từ Koi Security cho thấy mối đe dọa đã tái xuất hiện lần thứ hai, sử dụng cùng một thủ thuật che giấu ký tự Unicode vô hình để vượt qua sự phát hiện.
"Kẻ tấn công đã đăng một giao dịch mới lên blockchain Solana, cung cấp một điểm cuối C2 (command-and-control) được cập nhật để tải xuống payload giai đoạn tiếp theo," các nhà nghiên cứu bảo mật Idan Dardikman, Yuval Ronen và Lotan Sery cho biết.
"Điều này cho thấy khả năng phục hồi của cơ sở hạ tầng C2 dựa trên blockchain - ngay cả khi các máy chủ payload bị gỡ xuống, kẻ tấn công vẫn có thể đăng một giao dịch mới chỉ với một phần nhỏ của xu, và tất cả các máy bị nhiễm sẽ tự động lấy vị trí mới."
Nhà cung cấp bảo mật cũng tiết lộ rằng họ đã xác định một điểm cuối được cho là đã vô tình bị lộ trên máy chủ của kẻ tấn công, khám phá một danh sách nạn nhân một phần trải dài khắp Hoa Kỳ, Nam Mỹ, Châu Âu và Châu Á. Điều này bao gồm một thực thể chính phủ lớn từ Trung Đông.
Phân tích sâu hơn đã phát hiện thông tin keylogger được cho là từ máy của chính kẻ tấn công, điều này đã cung cấp một số manh mối về nguồn gốc của GlassWorm. Tác nhân đe dọa được đánh giá là người nói tiếng Nga và được cho là sử dụng một framework C2 tiện ích mở rộng trình duyệt mã nguồn mở có tên RedExt như một phần của cơ sở hạ tầng của chúng.
"Đây là những tổ chức và con người thật sự mà thông tin đăng nhập của họ đã bị thu thập, máy tính của họ có thể đang hoạt động như cơ sở hạ tầng proxy tội phạm, mạng nội bộ của họ có thể đã bị xâm phạm," Koi Security cho biết.
Sự phát triển này diễn ra ngay sau khi Aikido Security công bố phát hiện cho thấy GlassWorm đã mở rộng trọng tâm để nhắm mục tiêu vào GitHub, chỉ ra rằng thông tin đăng nhập GitHub bị đánh cắp đang được sử dụng để đẩy các commit độc hại vào các kho lưu trữ.
