Các chuyên gia an ninh mạng cảnh báo về sự xuất hiện của mã độc “tàng hình” GlassWorm, đã xâm nhập vào hơn 400 kho mã nguồn và tiện ích phần mềm trên nhiều nền tảng lập trình phổ biến.

Theo ước tính của Bkav, hiện có hàng chục nghìn máy tính của lập trình viên đã bị nhiễm mã độc này. Cuộc tấn công tạo ra hiệu ứng dây chuyền khi tin tặc lợi dụng các thiết bị bị nhiễm làm bàn đạp để xâm nhập sâu vào hệ thống doanh nghiệp, thao túng mã nguồn và tiếp tục nhân bản, phát tán với tốc độ nhanh trong chuỗi cung ứng phần mềm toàn cầu.

Khác với các hình thức tấn công truyền thống, chiến dịch này không khai thác trực tiếp lỗ hổng phần mềm. Thay vào đó, hacker sử dụng các tài khoản hoặc token truy cập bị đánh cắp để chèn mã độc vào các dự án mã nguồn hợp pháp do lập trình viên chia sẻ.

Các thay đổi độc hại được thực hiện dưới danh nghĩa tài khoản hợp lệ hoặc được ngụy trang giống các bản cập nhật bình thường, bao gồm đầy đủ thông tin về tác giả, nội dung và thời gian đóng góp. Điều này khiến việc phát hiện trở nên khó khăn cả với con người lẫn các công cụ kiểm tra cơ bản.

Ngoài ra, GlassWorm còn sử dụng kỹ thuật chèn ký tự Unicode “vô hình” để qua mặt hệ thống kiểm tra tự động. Mã độc có thể được ẩn trong những đoạn mã trông hoàn toàn bình thường khi quan sát bằng mắt thường.

Ông Nguyễn Đình Thủy, chuyên gia mã độc của Bkav, cho biết tin tặc đã nhúng các lệnh phá hoại vào các ký tự “vô hình”, biến những dòng mã tưởng như trống rỗng thành công cụ tấn công ngầm, gây khó khăn cho việc phát hiện.

Một điểm đáng chú ý khác là GlassWorm tận dụng mạng blockchain Solana để lưu trữ và truyền lệnh điều khiển, giúp hệ thống tấn công trở nên phi tập trung và khó bị vô hiệu hóa. Đồng thời, mã độc sử dụng luân phiên ít nhất 6 địa chỉ IP máy chủ điều khiển (C2) nhằm duy trì kết nối và che giấu hoạt động.

Khi được kích hoạt, mã độc có thể đánh cắp nhiều dữ liệu nhạy cảm như ví tiền điện tử, khóa SSH, mã xác thực truy cập và thông tin hệ thống, từ đó mở rộng xâm nhập vào hạ tầng của tổ chức.

Đáng lo ngại, phạm vi tấn công đã lan sang môi trường làm việc hằng ngày của lập trình viên thông qua các công cụ phát triển, tiện ích mở rộng và các thư viện phụ thuộc bị cài cắm mã độc.

Tại Việt Nam, nhiều doanh nghiệp công nghệ và startup đang sử dụng phổ biến các nền tảng như GitHub hay npm trong phát triển phần mềm. Nếu một thư viện phổ biến bị nhiễm mã độc, nguy cơ lan rộng sang nhiều dự án và hệ thống doanh nghiệp là rất lớn thông qua các phụ thuộc được sử dụng.

Ông Lê Tiến Thịnh, Giám đốc Sản phẩm An ninh mạng của Bkav, nhận định GlassWorm cho thấy xu hướng tấn công đang chuyển từ người dùng cá nhân sang các nền tảng và công cụ phát triển. Khi một mắt xích trong chuỗi cung ứng bị xâm nhập, hậu quả có thể lan rộng đến hàng nghìn, thậm chí hàng triệu người dùng cuối.

Trước nguy cơ này, Bkav khuyến cáo các lập trình viên và tổ chức công nghệ cần:

Ghim phiên bản và tắt cập nhật tự động đối với thư viện, tiện ích mở rộng để tránh lây nhiễm qua bản cập nhật Tích hợp công cụ quét mã tự động trong IDE hoặc quy trình CI/CD nhằm phát hiện sớm mã bị làm rối hoặc chứa ký tự ẩn Áp dụng xác thực đa yếu tố (MFA), phân quyền tối thiểu và hạn chế force-push với các nhánh quan trọng Trang bị phần mềm diệt virus chuyên nghiệp cho toàn bộ thiết bị, kết hợp giải pháp EDR/XDR để tăng cường bảo vệ Khi phát hiện dấu hiệu bất thường, cần lập tức đổi mật khẩu, thu hồi token truy cập và rà soát toàn bộ hoạt động của kho mã nguồn