DevOps VietNam

Mã độc GlassWorm được phát hiện trong ba tiện ích mở rộng VS Code với hàng nghìn lượt cài đặt

Các nhà nghiên cứu bảo mật vừa phát hiện thêm ba extension mới chứa mã độc GlassWorm, với hàng nghìn lượt cài đặt. Đáng lo ngại, hoạt động này đã quay trở lại lần thứ hai, sử dụng kỹ thuật Unicode Obfuscation để che giấu mã độc và khai thác blockchain Solana làm hạ tầng C2 (Command-and-Control) linh hoạt.

Theo báo cáo mới nhất từ Koi Security, ba extension mới bị phát hiện là ai-driven-dev.ai-driven-dev (3.402 lượt tải), adhamu.history-in-sublime-merge (4.057 lượt tải), và yasuyuky.transient-emacs (2.431 lượt tải). Chúng được ghi nhận là vẫn còn có sẵn trên marketplace tại thời điểm công bố báo cáo.

Hoạt động mã độc GlassWorm, được Koi Security ghi nhận lần đầu vào tháng trước, nhắm vào cả Open VSX Registry và Microsoft Extension Marketplace. Mục tiêu của mã độc là đánh cắp credentials của Open VSX, GitHub, Git, rút tiền từ 49 loại ví crypto khác nhau, và cài cắm công cụ truy cập từ xa. Kỹ thuật đặc trưng của GlassWorm là sử dụng các ký tự làm rối bằng Unicode để che giấu mã độc, qua mặt các trình biên tập code.

Mặc dù Open VSX đã gỡ bỏ các extension độc hại và thu hồi token vào ngày 21/10/2025, hacker đã nhanh chóng tái xuất. Báo cáo mới nhất cho thấy hacker vẫn dùng kỹ thuật Unicode Obfuscation cũ để bypass các biện pháp phát hiện.

Điểm mấu chốt trong sự kiên cường này là hạ tầng C2. Hacker đăng một transaction mới lên blockchain Solana, cung cấp một endpoint C2 mới để tải payload giai đoạn tiếp theo. Bằng cách này, dù máy chủ payload bị đánh sập, hacker chỉ cần tốn chi phí rất thấp để đăng giao dịch mới, và tất cả các máy bị nhiễm sẽ tự động tìm đến địa chỉ mới.

Chiến dịch này dường như đang mở rộng. Hãng bảo mật Aikido Security lưu ý rằng hacker đang sử dụng các credentials GitHub đánh cắp được để đẩy các commit chứa mã độc lên các repository. Phân tích sâu hơn của Koi Security (từ một endpoint bị lộ của hacker) cho thấy danh sách người dùng bị ảnh hưởng trải dài từ Mỹ, châu Âu, châu Á, bao gồm cả một tổ chức chính phủ lớn ở Trung Đông. Dữ liệu keylogger thu được từ máy của chính hacker cho thấy hacker này có thể là người nói tiếng Nga và sử dụng framework C2 mã nguồn mở RedExt.