Phần mềm độc hại GlassWorm

Một đợt tấn công mới của phần mềm độc hại GlassWorm đang tích cực nhắm mục tiêu vào chuỗi cung ứng phần mềm bằng cách khai thác các mã thông báo GitHub bị đánh cắp để chèn mã độc vào hàng trăm kho lưu trữ. Chiến dịch này chủ yếu tập trung vào các dự án dựa trên Python, bao gồm các ứng dụng Django, mã nghiên cứu máy học, bảng điều khiển Streamlit và các gói PyPI.

Phương thức tấn công thoạt nhìn có vẻ đơn giản nhưng lại cực kỳ hiệu quả: phần mềm độc hại được mã hóa và chèn vào các tập tin thường xuyên được thực thi như setup.py, main.py và app.py. Bất kỳ nhà phát triển nào cài đặt các thư viện phụ thuộc thông qua pip install hoặc thực thi mã được sao chép từ kho lưu trữ bị xâm nhập đều vô tình kích hoạt phần mềm độc hại.

Chiếm đoạt kho lưu trữ âm thầm: Kỹ thuật ForceMemo

Sự phát triển của chiến dịch này, hiện được gọi là ForceMemo, giới thiệu một phương pháp xâm nhập kho lưu trữ một cách lén lút. Các tác nhân đe dọa có được quyền truy cập vào tài khoản của nhà phát triển và thao túng kho lưu trữ mà không để lại dấu vết thông thường.

Bằng cách thay đổi vị trí các commit hợp lệ bằng mã độc và đẩy chúng lên nhánh mặc định, kẻ tấn công giữ nguyên siêu dữ liệu của commit gốc, bao gồm thông báo, tác giả và dấu thời gian, che giấu hiệu quả sự xâm nhập. Cách tiếp cận này loại bỏ các dấu hiệu dễ nhận biết như yêu cầu kéo (pull request) hoặc lịch sử commit đáng ngờ, khiến việc phát hiện trở nên khó khăn hơn đáng kể.

Chuỗi thực thi tấn công: Từ đánh cắp thông tin đăng nhập đến phân phối mã độc.

Chiến dịch ForceMemo tuân theo một quy trình xâm nhập có cấu trúc và nhiều giai đoạn:

• Môi trường phát triển ban đầu bị xâm nhập thông qua các tiện ích mở rộng Visual Studio Code và Cursor độc hại chứa các thành phần GlassWorm được thiết kế để thu thập thông tin đăng nhập nhạy cảm, bao gồm cả mã thông báo GitHub.
• Thông tin đăng nhập bị đánh cắp sau đó được sử dụng để chèn các đoạn mã độc được mã hóa Base64 vào các tệp Python trên tất cả các kho lưu trữ liên kết với tài khoản bị xâm phạm.
• Phần mềm độc hại được nhúng thực hiện kiểm tra môi trường, đặc biệt là tránh thực thi trên các hệ thống được cấu hình với ngôn ngữ tiếng Nga. Sau đó, nó truy vấn ví blockchain Solana để tự động lấy URL phân phối tải trọng.
• Các phần mềm độc hại bổ sung được tải xuống, bao gồm cả mã JavaScript được mã hóa được thiết kế để đánh cắp tiền điện tử và rò rỉ dữ liệu.

Hệ thống chỉ huy và kiểm soát dựa trên Blockchain: Một cơ sở hạ tầng kiên cường

Một đặc điểm nổi bật của chiến dịch này là việc dựa vào chuỗi khối Solana như một cơ chế Chỉ huy và Kiểm soát (C2). Thay vì các máy chủ truyền thống, kẻ tấn công lưu trữ các URL chứa mã độc trong các trường ghi chú giao dịch được liên kết với các địa chỉ ví cụ thể.

Phân tích cho thấy hoạt động liên quan đến ví chính đã bắt đầu từ ngày 27 tháng 11 năm 2025, nhiều tháng trước khi các vụ xâm phạm kho lưu trữ được phát hiện. Ví này đã xử lý hàng chục giao dịch, với vị trí dữ liệu được cập nhật thường xuyên, đôi khi nhiều lần mỗi ngày. Cách tiếp cận phi tập trung này tăng cường khả năng phục hồi và làm phức tạp các nỗ lực triệt phá.

Mở rộng bề mặt tấn công: npm và sự lây nhiễm chéo hệ sinh thái

Chiến dịch này đã lan rộng ra ngoài hệ sinh thái Python sang chuỗi cung ứng JavaScript. Hai gói npm của React Native, react-native-international-phone-number (phiên bản 0.11.8) và react-native-country-select (phiên bản 0.3.91), đã bị xâm phạm tạm thời và phát tán kèm theo phần mềm độc hại được nhúng bên trong.

Các phiên bản độc hại này đã cài đặt các hook thực thi mã JavaScript bị làm mờ, khởi tạo một chuỗi lây nhiễm tương tự. Phần mềm độc hại này một lần nữa tránh các hệ thống của Nga, lấy hướng dẫn tải trọng thông qua ví Solana và triển khai các mối đe dọa dành riêng cho nền tảng.

Quá trình thực thi diễn ra hoàn toàn trong bộ nhớ bằng cách sử dụng các kỹ thuật thời gian chạy như eval() hoặc cơ chế hộp cát của Node.js, để lại rất ít dấu vết pháp lý. Ngoài ra, cơ chế duy trì ngăn ngừa sự tái nhiễm trong vòng 48 giờ bằng cách lưu trữ dấu thời gian cục bộ.

Chiến thuật né tránh và phân phối nâng cao

Các phiên bản gần đây của GlassWorm cho thấy sự tinh vi hơn trong việc phân phối và che giấu. Bằng cách tận dụng các cơ chế extensionPack và extensionDependencies, kẻ tấn công phân phối các phần mềm độc hại một cách gián tiếp thông qua các hệ sinh thái tiện ích mở rộng đáng tin cậy.

Các chiến dịch trước đó liên quan đến cùng một nhóm tin tặc đã xâm nhập hơn 151 kho lưu trữ GitHub bằng cách sử dụng các ký tự Unicode vô hình để che giấu mã độc. Mặc dù có nhiều chiến lược che giấu và phân phối khác nhau, tất cả các chiến dịch đều nhất quán dựa trên cùng một cơ sở hạ tầng dựa trên Solana, xác nhận một khung hoạt động thống nhất.

Các tiện ích mở rộng IDE độc hại: Nhắm mục tiêu vào môi trường phát triển phần mềm

Chiến dịch này cũng đã xâm nhập vào các công cụ phát triển thông qua một tiện ích mở rộng độc hại có tên là reditorsupporter.r-vscode-2.8.8-universal, nhắm mục tiêu vào IDE Windsurf. Được ngụy trang dưới dạng một plugin hỗ trợ ngôn ngữ R, nó triển khai một phần mềm đánh cắp thông tin dựa trên Node.js.

Sau khi được cài đặt, tiện ích mở rộng này sẽ truy xuất các dữ liệu được mã hóa từ các giao dịch blockchain, thực thi chúng trong bộ nhớ và triển khai các thành phần đã biên dịch để trích xuất dữ liệu nhạy cảm từ các trình duyệt dựa trên Chromium. Khả năng duy trì hoạt động được đảm bảo thông qua các tác vụ theo lịch trình và sửa đổi Registry của Windows, đảm bảo việc thực thi khi hệ thống khởi động.

Phần mềm độc hại này nhắm mục tiêu cụ thể vào môi trường phát triển phần mềm, đồng thời loại trừ các hệ thống của Nga, phản ánh hành vi được quan sát thấy ở các biến thể GlassWorm khác.

Các chỉ số về quy mô và tác động

Phân tích bảo mật cho thấy chiến dịch này đã xâm phạm một phần đáng kể hệ sinh thái mã nguồn mở, ảnh hưởng đến hơn 433 dự án trên nhiều nền tảng. Những dự án này bao gồm các kho lưu trữ GitHub (Python và JavaScript), các tiện ích mở rộng VS Code và các thư viện npm.

Tất cả các con đường lây nhiễm cuối cùng đều dẫn đến việc triển khai một phần mềm đánh cắp thông tin dựa trên JavaScript, cho thấy mục tiêu cuối cùng nhất quán là thu thập thông tin đăng nhập và đánh cắp dữ liệu.

• Hơn 433 dự án và gói phần mềm đã được xác nhận bị xâm phạm.
• Nhiều phương thức phân phối khác nhau, bao gồm GitHub, npm và các tiện ích mở rộng IDE.
• Sử dụng nhất quán cơ sở hạ tầng blockchain Solana để vận chuyển dữ liệu.
• Liên tục loại trừ các hệ thống của Nga trên tất cả các biến thể.

Đánh giá chiến lược: Kỷ nguyên mới của các cuộc tấn công chuỗi cung ứng

Chiến dịch ForceMemo thể hiện sự leo thang đáng kể trong các mối đe dọa chuỗi cung ứng phần mềm. Sự kết hợp giữa thao túng lịch sử Git một cách lén lút, cơ sở hạ tầng C2 dựa trên blockchain và các phương thức lây nhiễm đa nền tảng cho thấy mức độ hoàn thiện hoạt động cao.

Việc tái sử dụng cơ sở hạ tầng cùng với các cơ chế phân phối ngày càng phát triển cho thấy một đối thủ thích ứng, có khả năng mở rộng quy mô các cuộc tấn công trong khi vẫn duy trì được sự hiện diện và khả năng né tránh. Sự chuyển dịch từ các cuộc xâm nhập riêng lẻ sang các cuộc xâm nhập phối hợp, đa hệ sinh thái nhấn mạnh rủi ro ngày càng tăng mà các môi trường phát triển hiện đại và cộng đồng mã nguồn mở đang phải đối mặt.