Kẻ tấn công đã chiếm quyền truy cập vào tài khoản của một nhà phát triển hợp pháp (oorzc) và phát tán các bản cập nhật chứa mã độc GlassWorm trên bốn tiện ích mở rộng đã được tải xuống 22.000 lần.

Các cuộc tấn công GlassWorm lần đầu tiên xuất hiện vào cuối tháng 10/2025, với kỹ thuật ẩn mã bằng cách sử dụng các ký tự Unicode “vô hình” để đánh cắp thông tin ví tiền điện tử và tài khoản nhà phát triển. Đáng lưu ý, phần mềm độc hại này cũng hỗ trợ truy cập từ xa dựa trên VNC và proxy SOCKS.

Qua thời gian và nhiều đợt tấn công khác nhau, GlassWorm đã ảnh hưởng đến cả kho ứng dụng Visual Studio Code chính thức của Microsoft và OpenVSX - một giải pháp thay thế mã nguồn mở dành cho các IDE không được hỗ trợ.

Trong một chiến dịch trước đó, GlassWorm đã cho thấy dấu hiệu phát triển và nhắm mục tiêu vào hệ thống macOS, đồng thời các tác nhân đe dọa đang nỗ lực bổ sung cơ chế thay thế cho các ứng dụng Trezor và Ledger.

Kiểm tra môi trường trước khi thực thi trên máy chủ

Một báo cáo mới từ hãng bảo mật Socket mô tả một chiến dịch gần đây dựa vào việc cài đặt mã độc Trojan vào các tiện ích mở rộng sau: oorzc.ssh-tools v0.5.1; oorzc.i18n-tools-plus v1.6.8; oorzc.mind-map v1.0.61; oorzc.scss-to-css-compile v1.3.4.

Các bản cập nhật độc hại được phát tán vào ngày 30/1 và Socket báo cáo rằng các tiện ích này vốn vô hại trong hai năm qua. Điều này cho thấy tài khoản oorzc rất có thể đã bị tin tặc GlassWorm xâm nhập.

Theo các nhà nghiên cứu, chiến dịch này chỉ nhắm mục tiêu vào các hệ thống macOS, lấy lệnh từ các bản ghi giao dịch Solana. Đặc biệt, các hệ thống sử dụng ngôn ngữ tiếng Nga lại không bị ảnh hưởng, điều này có thể hé lộ nguồn gốc của kẻ tấn công. GlassWorm nhúng một phần mềm đánh cắp thông tin macOS, thiết lập khả năng duy trì hoạt động trên các hệ thống bị nhiễm thông qua LaunchAgent, cho phép thực thi khi đăng nhập.

Ngoài ra, mã độc này thu thập dữ liệu trình duyệt trên Firefox và Chromium, tiện ích mở rộng ví và ứng dụng ví, dữ liệu keychain macOS, cơ sở dữ liệu Apple Notes, cookie Safari, secret của nhà phát triển và tài liệu từ hệ thống tệp cục bộ, đồng thời chuyển tất cả thông tin đánh cắp được đến cơ sở hạ tầng của kẻ tấn công tại địa chỉ 45[.]32[.]150[.]251.

Hoạt động đánh cắp dữ liệu

Socket đã báo cáo các gói phần mềm này cho Eclipse Foundation, đơn vị vận hành nền tảng Open VSX. Nhóm bảo mật đã xác nhận việc truy cập xuất bản trái phép, thu hồi token và gỡ bỏ các bản phát hành độc hại.

Ngoại lệ duy nhất là oorzc.ssh-tools, đã bị xóa hoàn toàn khỏi Open VSX. Hiện tại, các phiên bản của tiện ích mở rộng bị ảnh hưởng trên thị trường đều an toàn, nhưng các nhà phát triển đã tải xuống các bản phát hành có chứa mã độc nên thực hiện “vệ sinh” hệ thống toàn diện và thay đổi tất cả các thông tin bí mật và mật khẩu của họ.