Phát hiện hơn 70 tiện ích mở rộng Open VSX giả mạo liên quan đến mã độc GlassWorm

Công ty an ninh mạng Socket vừa đưa ra cảnh báo về một làn sóng tấn công mới nhắm vào hệ sinh thái Open VSX, nơi lưu trữ các tiện ích mở rộng cho trình soạn thảo mã nguồn. Theo đó, hơn 70 tiện ích được đăng tải vào tháng 4 năm nay được xác định là các bản sao (clone) của các tiện ích phổ biến, có khả năng cao là các "tiện ích ngủ đông" (sleeper extensions) được thiết kế để phân phối phần mềm độc hại GlassWorm.

Mã độc và rủi ro từ bên thứ ba

Bối cảnh về mã độc GlassWorm

GlassWorm lần đầu tiên xuất hiện trên sổ đăng ký Open VSX vào tháng 10 năm 2025 thông qua khoảng một chục tiện ích, ước tính đã được tải xuống hàng nghìn lần. Mã độc này sử dụng các bộ chọn biến thể Unicode (Unicode variation selectors) để ẩn giấu mã nguồn một cách trực quan, đồng thời sử dụng blockchain Solana làm cơ sở hạ tầng chỉ huy và kiểm soát (C&C).

Mục tiêu chính của GlassWorm là đánh cắp thông tin xác thực từ GitHub, Git, NPM, các thông tin nhạy cảm khác và tiền điện tử. Sau khi xuất hiện, mã độc này đã lan sang các hệ sinh thái phần mềm mã nguồn mở khác vào tháng 11 và tái xuất hiện vào tháng 1 và tháng 3, compromising hơn 150 kho lưu trữ.

Chi tiết về làn sóng tấn công mới

Socket cho biết họ đã xác định được 73 tiện ích đáng ngờ là bản sao của các tiện ích phổ biến trên thị trường Open VSX. Điểm đáng chú ý là các tiện ích này đều được xuất bản bởi các tài khoản GitHub mới tạo, chỉ có một hoặc hai kho lưu trữ công khai với tên là một chuỗi ký tự gồm 8 ký tự.

Tất cả các tiện ích này được cho là các tác nhân ngủ đông, được thiết kế để triển khai phần mềm độc hại lên máy của người dùng thông qua các bản cập nhật trong tương lai. Ít nhất sáu trong số này đã được kích hoạt tính năng độc hại.

"Số lượng này có thể thay đổi khi các bản cập nhật mới tiếp tục xuất hiện, nhưng mô hình này nhất quán với các làn sóng GlassWorm trước đây: các tiện ích được sao chép hoặc mạo danh được xuất bản trước mà không chứa tải trọng (payload) rõ ràng, sau đó được cập nhật để phân phối phần mềm độc hại thông qua đường dẫn cập nhật tiện ích bình thường," Socket nhận định.

Chiến thuật kỹ thuật và xã hội

Các tiện ích này thể hiện rõ một mô hình mạo danh, nơi chúng sao chép các danh sách hợp pháp của các tiện ích gốc, bao gồm biểu tượng, tên gọi và mô tả, nhưng dưới một nhà xuất bản khác và định danh duy nhất riêng biệt.

Socket lưu ý: "Đây là mô hình kỹ thuật xã hội cốt lõi đằng sau cụm GlassWorm mới nhất: các danh sách được sao chép tạo đủ sự tin tưởng về mặt thị giác để thu hút lượt cài đặt trước khi bất kỳ phần mềm độc hại nào được đưa vào."

Phương thức phân phối phần mềm độc hại được các tiện ích này thực hiện là sự kết hợp của các cơ chế đã quan sát thấy trước đây: một số dựa vào các tệp nhị phân gốc được đóng gói (bundled native binaries), bao gồm các thành phần từ các cuộc tấn công GlassWorm trước đó, trong khi những cái khác lấy tải trọng từ một vị trí từ xa.

"Mã nguồn của riêng tiện ích không còn phản ánh hành vi cuối cùng sẽ chạy. Bằng cách chuyển logic quan trọng ra ngoài phạm vi mà các công cụ thường quét, và lan truyền nó qua nhiều cơ chế phân phối khác nhau, tác nhân đe dọa tăng khả năng tránh bị phát hiện," Socket giải thích.

Sự việc này nhấn mạnh những rủi ro ngày càng tăng trong chuỗi cung ứng phần mềm mã nguồn mở, nơi các nhà phát triển và người dùng cần cảnh giác trước các tiện ích giả mạo dù có vẻ ngoài đáng tin cậy.