Hotline: 024 38357975
Liên hệ tòa soạn
Giới thiệu
Đăng nhập

Phần mềm độc hại GlassWorm quay trở lại trên OpenVSX với 3 tiện ích mở rộng VSCode mới

15:00 | 11/11/2025
Hồng Đạt

Chiến dịch phần mềm độc hại GlassWorm, tác động đến các thị trường OpenVSX và VSCode vào tháng 10/2025, đã quay trở lại với ba tiện ích mở rộng VSCode mới với hơn 10.000 lượt tải xuống.

GlassWorm lợi dụng các giao dịch Solana để đánh cắp dữ liệu nhắm mục tiêu vào thông tin đăng nhập tài khoản GitHub, NPM và OpenVSX, cũng như ví tiền điện tử từ 49 tiện ích mở rộng. Phần mềm độc hại sử dụng các ký tự Unicode vô hình hiển thị dưới dạng khoảng trống nhưng thực thi dưới dạng JavaScript để tạo điều kiện cho các hành động độc hại.

Lần đầu tiên GlassWorm xuất hiện thông qua 12 tiện ích mở rộng trên các chợ ứng dụng VSCode và OpenVSX của Microsoft, với tổng cộng 35.800 lượt tải xuống. Tuy nhiên, các nhà nghiên cứu bảo mật nhận định rằng số lượt tải xuống đã bị tin tặc thổi phồng, khiến tác động toàn diện của chiến dịch vẫn chưa được xác định.

Sự trở lại của GlassWorm

Theo Koi Security, đơn vị theo dõi chiến dịch này, kẻ tấn công hiện sử dụng cùng cơ sở hạ tầng nhưng với các endpoint điều khiển và ra lệnh (C2) được cập nhật và các giao dịch Solana. Ba phần mở rộng OpenVSX với payload GlassWorm là: ai-driven-dev.ai-driven-dev - 3.400 lượt tải xuống; adhamu.history-in-sublime-merge - 4.000 lượt tải xuống; yasuyuky.transient-emacs - 2.400 lượt tải xuống.

Koi Security cho biết cả ba tiện ích mở rộng trên đều sử dụng cùng một kỹ thuật che dấu (obfuscation) ký tự Unicode vô hình như các tệp gốc. Rõ ràng, kỹ thuật này vẫn hiệu quả trong việc bypass các biện pháp phòng thủ mới được giới thiệu của OpenVSX.

Payload ẩn

Như Công ty an ninh mạng Aikido (Bỉ) đã đưa tin trước đó, nhà phát triển của GlassWorm đã chuyển mục tiêu sang GitHub, nhưng việc quay trở lại với OpenVSX thông qua các tiện ích mở rộng mới cho thấy ý định tiếp tục hoạt động trên nhiều nền tảng của các tin tặc.

Cơ sở hạ tầng tấn công bị rò rỉ

Nhờ một thông tin ẩn danh, Koi Security có thể truy cập vào máy chủ của kẻ tấn công và lấy được dữ liệu quan trọng về các nạn nhân bị ảnh hưởng bởi chiến dịch này.

Dữ liệu thu thập được cho thấy phạm vi hoạt động toàn cầu, trong đó GlassWorm được tìm thấy trên các hệ thống ở Mỹ, Nam Mỹ, châu Âu, châu Á và một cơ quan chính phủ ở Trung Đông. Về các nhà phát triển, Koi báo cáo rằng có thể là các tin tặc đến từ Nga và sử dụng nền tảng mở rộng trình duyệt C2 nguồn mở RedExt.

Dữ liệu từ endpoint

Các nhà nghiên cứu đã chia sẻ tất cả dữ liệu với cơ quan thực thi pháp luật, bao gồm ID người dùng cho nhiều sàn giao dịch tiền điện tử và nền tảng nhắn tin, cũng như một kế hoạch thông báo cho các tổ chức bị ảnh hưởng đang được phối hợp.

Koi Security xác định được 60 nạn nhân riêng biệt cho đến nay, lưu ý rằng họ chỉ thu thập được một phần danh sách từ một điểm cuối bị lộ. Đến nay, ba tiện ích mở rộng với payload GlassWorm vẫn có sẵn để tải xuống trên OpenVSX.

Twitter Zalo Facebook YouTube Copy Link QR Code
REDEXT SOLANA TIỀN ĐIỆN TỬ ĐÁNH CẮP THÔNG TIN OPENVSX JAVASCRIPT MÃ ĐỘC GIAO DỊCH OBFUSCATION VSCODE GLASSWORM PHẦN MỀM ĐỘC HẠI CHIẾN DỊCH TIỆN ÍCH MỞ RỘNG
Để lại bình luận
TIN ĐỌC NHIỀU
Tin cùng chuyên mục
    ẤN PHẨM IN
    Tạp chí in Chuyên san
    Trang liên kết