VỮNG MÃI MỘT NIỀM TIN

GlassWorm – Mã độc tàng hình trong kỷ nguyên extension

  • 28/10/2025

 

Một chiến dịch tấn công chuỗi cung ứng mới đang âm thầm lan rộng, nhắm vào các nhà phát triển phần mềm trên toàn cầu — bao gồm người dùng OpenVSXMicrosoft Visual Studio Code (VS Code).
Phần mềm độc hại mang tên GlassWorm đã được tải xuống hơn 35.800 lần, biến máy tính của lập trình viên thành “mắt xích” trong mạng lưới tội phạm số.

Cách thức tấn công tinh vi

GlassWorm được phát hiện khi các chuyên gia an ninh phân tích những extension bất thường trong kho OpenVSX.
Điểm đáng sợ nằm ở kỹ thuật ẩn mã độc bằng ký tự Unicode vô hình, khiến đoạn code độc hại “biến mất” khỏi tầm nhìn — ngay cả khi lập trình viên kiểm tra thủ công trong trình soạn thảo mã nguồn.

Sau khi xâm nhập, GlassWorm tự lây lan bằng cách đánh cắp tài khoản của nạn nhân (GitHub, npm, OpenVSX…) để tiếp tục phát tán các extension bị nhiễm khác.

Một khi được cài đặt, mã độc sẽ:

  • Ẩn mình trong mã JavaScript bằng ký tự Unicode vô hình

  • Đánh cắp thông tin đăng nhập từ các nền tảng phát triển

  • Trộm dữ liệu ví tiền mã hóa từ hơn 40 extension liên quan đến crypto

  • Cài SOCKS proxyHVNC (Hidden Virtual Network Computing) để điều khiển từ xa

  • Kích hoạt payload ZOMBI, biến máy tính nạn nhân thành node trong mạng tấn công

Đặc biệt, GlassWorm sử dụng Solana blockchain làm nơi lưu trữ lệnh điều khiển (C2), giúp hacker tránh bị chặn và truy vết.
Ngoài ra, nó còn dùng Google CalendarBitTorrent DHT làm kênh dự phòng, gia tăng độ bền vững cho hạ tầng tấn công.

Ảnh hưởng diện rộng

Các nhà nghiên cứu xác nhận có ít nhất 12 extension bị nhiễm độc trên hai kho OpenVSXVS Code Marketplace, bao gồm các gói phổ biến như Codejoy, recoil, better-nunjuckscline-ai.
Đáng lo ngại hơn, cơ chế tự động cập nhật (auto-update) của VS Code khiến hàng nghìn lập trình viên có thể bị nhiễm mà không hề hay biết.

GlassWorm được xem là mã độc chuỗi cung ứng đầu tiên có khả năng hoạt động như worm (tự nhân bản) trên nền tảng VS Code — mở rộng tấn công tới:

  • Hệ thống doanh nghiệp nơi lập trình viên làm việc

  • Dự án mã nguồn mở hoặc startup

  • Hệ thống blockchain và ví crypto

  • Toàn bộ chuỗi cung ứng phần mềm toàn cầu

Khuyến nghị từ chuyên gia DTG CORP

Đây là vụ tấn công chuỗi cung ứng đặc biệt nghiêm trọng, có thể tác động trực tiếp đến cộng đồng lập trình viên tại Việt Nam.
Các chuyên gia an ninh của DTG CORP khuyến cáo:

  • Gỡ bỏ hoặc kiểm tra ngay các extension nằm trong danh sách bị nhiễm

  • Tạm thời vô hiệu hóa auto-update extension trong VS Code

  • Đổi toàn bộ mật khẩu GitHub, npm, OpenVSX, VSCode Marketplace

  • Kiểm tra các tiến trình bất thường (proxy, kết nối Solana hoặc BitTorrent)

  • Chỉ tải extension từ nguồn chính thức, có xác thực rõ ràng

Thông điệp cảnh báo

GlassWorm là lời nhắc nhở mạnh mẽ rằng ngay cả lập trình viên – những người hiểu rõ nhất về công nghệ – cũng có thể trở thành nạn nhân của tấn công chuỗi cung ứng.
Trong thời đại AI và “extension hóa” mọi thứ, mỗi công cụ hay tiện ích nhỏ đều có thể bị lợi dụng nếu thiếu kiểm soát bảo mật.

Đã đến lúc các cá nhân và doanh nghiệp cần coi an ninh trong môi trường phát triển phần mềm là một phần không thể tách rời của quy trình vận hành an toàn.

DTG CORP – Đối tác công nghệ tin cậy của doanh nghiệp Việt

Chúng tôi luôn đồng hành cùng cộng đồng trong việc phát hiện, phòng ngừa và ứng phó sớm trước các mối đe dọa an ninh mạng ngày càng tinh vi.

(Theo WhiteHat)

Tin tức

Tuyển dụng

Đối tác

Facebook

DTG CORP

Trụ sở chính
Địa chỉ: 41 Trần Khắc Chân, Phường Cầu Kiệu, Thành phố Hồ Chí Minh, Việt Nam
Tòa nhà DTG
Địa chỉ: 272-274 Hòa Hưng, Phường Hòa Hưng, Thành phố Hồ Chí Minh, Việt Nam
Điện thoại: (028) 3865 9999
Fax: (028) 3868 3639
Mail: info@dtgcorp.com.vn
Văn phòng Hà Nội
Địa chỉ: 25 Nguyễn Quốc Trị, Phường Yên Hòa, Thành phố Hà Nội, Việt Nam
Tel: 0916868989
Văn phòng Hải Phòng
Địa chỉ: Tầng 3, BH01-56, KĐT Vinhomes Imperia,
Đường Bạch Đằng, Phường Hồng Bàng, Thành phố Hải Phòng, Việt Nam
Điện thoại: 0912193833