Botnet GlassWorm bị vô hiệu hóa sau chiến dịch phối hợp của CrowdStrike và Google

Botnet GlassWorm, mối đe dọa nhắm vào hệ sinh thái phần mềm mã nguồn mở trong hơn sáu tháng qua, đã bị phá vỡ hoàn toàn, theo báo cáo mới nhất từ công ty an ninh mạng CrowdStrike.

Botnet GlassWorm bị vô hiệu hóa

Sự phối hợp giữa CrowdStrike, Google và Shadowserver Foundation đã dẫn đến việc tháo dỡ đồng thời bốn kênh chỉ huy và kiểm soát (C&C) của phần mềm độc hại này. Hành động này ngăn chặn tin tặc truy cập vào các máy tính đã bị nhiễm và chặn đứng việc phân phối các tải trọng độc hại mới.

Hạ tầng tinh vi và khó tiêu diệt

GlassWorm nổi bật với việc sử dụng hạ tầng blockchain Solana cho mạng lưới C&C. Ngoài ra, kẻ tấn công còn sử dụng Google Calendar, mạng ngang hàng BitTorrent và các máy chủ VPS truyền thống làm phương án dự phòng.

Địa chỉ C&C được mã hóa trong các trường ghi chú (memo) của giao dịch blockchain, khiến chúng không thể bị sửa đổi hay xóa bỏ. Mạng BitTorrent được dùng để lưu trữ dữ liệu cấu hình dựa trên các khóa công khai được mã hóa cứng, trong khi Google Calendar lưu trữ các đường dẫn C&C được mã hóa Base64 trong tiêu đề sự kiện.

"Sự kết hợp giữa blockchain, mạng ngang hàng và các dịch vụ web hợp pháp làm lớp phân giải được thiết kế để chống lại việc bị gỡ bỏ — một mặt trận động bảo vệ các máy chủ C&C thực sự phía sau nhiều lớp gián tiếp," CrowdStrike nhận định.

Bằng cách vô hiệu hóa cả bốn kênh cùng lúc, các công ty an ninh mạng đã cắt đứt khả năng tiếp cận máy bị nhiễm của tin tặc và ngăn chặn việc gửi các chỉ thị mới.

Ẩn mình và tiến hóa

Được phát hiện lần đầu vào tháng 10 năm 2025, GlassWorm sử dụng bộ chọn biến thể Unicode để ẩn mã độc trong trình soạn thảo mã, khiến nó vô hình với mắt thường.

Mã độc ẩn trong trình soạn thảo

Phần mềm tự lan truyền này ban đầu được phân phối thông qua các tiện ích mở rộng Visual Studio bị cài mã độc (trojanized) trên thị trường OpenVSX. Tuy nhiên, đến tháng 11, nó cũng xuất hiện trên GitHub. Vào năm 2026, các cuộc tấn công của GlassWorm tiếp tục nhắm vào các nhà phát triển VS và các hệ sinh thái phần mềm mã nguồn mở khác. Vào tháng 3, nhiều dự án Python đã bị xâm phạm.

Các nhà điều hành sau lưng GlassWorm được đánh giá là có nguồn lực tốt và kiên trì. Họ liên tục phát triển: chuyển đổi ngôn ngữ lập trình (từ JavaScript sang Rust rồi Zig), mở rộng sang nhiều hệ sinh thái gói phần mềm (VSCode, npm, PyPI, GitHub) và xây dựng hạ tầng dư thừa để tồn tại qua các nỗ lực triệt phá.

Mối đe dọa đối với chuỗi cung ứng phần mềm

GlassWorm được thiết kế để đánh cắp thông tin nhạy cảm (như thông tin đăng nhập NPM, GitHub và Git) và tiền từ hàng chục tiện ích mở rộng tiền điện tử. Nó cũng triển khai máy chủ proxy SOCKS và máy chủ VNC ẩn để truy cập từ xa vào các máy bị nhiễm.

Việc tin tặc tiếp cận được thông tin đăng nhập bị đánh cắp đã tạo ra rủi ro ongoing về các cuộc tấn công chuỗi cung ứng có tác động cao, vượt ra ngoài phạm vi các nhà phát triển nạn nhân. Tất cả người dùng của phần mềm có khả năng bị ảnh hưởng, bao gồm cả doanh nghiệp và các loại tổ chức khác, đều bị đe dọa xâm phạm.

Theo CrowdStrike, bằng chứng cho thấy các nhà điều hành GlassWorm có nguồn gốc từ Nga: phần mềm độc hại kiểm tra ngôn ngữ hệ thống (locale) và tránh lây nhiễm máy móc tại các nước CIS, và mã nguồn của nó chứa các bình luận bằng tiếng Nga.

"Việc triệt phá này quan trọng không chỉ ở việc loại bỏ botnet. GlassWorm đánh dấu sự thay đổi đáng kể trong bối cảnh đe dọa, đóng vai trò như một hồi chuông cảnh tỉnh cho mọi tổ chức phát hành hoặc sử dụng phần mềm. Kẻ thù không chỉ nhắm vào sản phẩm, họ đang nhắm vào chính những người xây dựng nó," CrowdStrike lưu ý.

Ngoài việc tháo dỡ hạ tầng GlassWorm, CrowdStrike đã chỉ thị cho các máy bị nhiễm gửi tín hiệu đến địa chỉ IP an toàn 164.92.88[.]210. Các tổ chức được khuyên kiểm tra các kết nối đến địa chỉ IP này để xác định khả năng bị nhiễm trùng.

Logo SecurityWeek