Cảnh báo khẩn mã độc 'tàng hình' giả danh cập nhật

Một chiến dịch phát tán mã độc quy mô lớn mang tên GlassWorm đang làm dấy lên lo ngại trong cộng đồng công nghệ khi âm thầm xâm nhập hơn 400 kho mã nguồn và tiện ích phần mềm trên các nền tảng phổ biến như GitHub, npm, VSCode/OpenVSX.

Điểm đáng lo ngại của GlassWorm là cách thức tấn công không đi theo lối mòn khai thác lỗ hổng phần mềm, mà lợi dụng các tài khoản và token truy cập bị đánh cắp để chèn mã độc trực tiếp vào các kho mã nguồn hợp pháp. Những thay đổi độc hại được thực hiện dưới danh nghĩa tài khoản thật, đi kèm lịch sử cập nhật (commit) được ngụy trang tinh vi về tác giả, nội dung và thời gian, khiến chúng gần như không thể phân biệt với các bản cập nhật thông thường.

Không dừng lại ở đó, mã độc còn sử dụng kỹ thuật chèn các ký tự Unicode “vô hình” vào trong mã nguồn nhằm qua mặt các hệ thống kiểm tra tự động. Những đoạn mã tưởng như trống rỗng lại chứa các lệnh phá hoại ngầm, khiến cả lập trình viên lẫn công cụ bảo mật truyền thống khó phát hiện dấu hiệu bất thường.

Đáng chú ý, thay vì sử dụng máy chủ điều khiển (C2) theo cách truyền thống, chiến dịch này tận dụng mạng blockchain Solana để lưu trữ và truyền lệnh. Nhờ đó, hệ thống điều khiển trở nên phi tập trung, khó bị phát hiện và gần như không thể bị đánh sập. Đồng thời, mã độc còn luân phiên sử dụng ít nhất 6 địa chỉ IP khác nhau để duy trì liên lạc và che giấu hoạt động.

Ông Nguyễn Đình Thủy, chuyên gia mã độc của Bkav cho biết: hacker đã “nhúng trực tiếp các lệnh phá hoại vào những ký tự Unicode vô hình trong đoạn mã, biến những dòng chữ tưởng như trống rỗng thành công cụ tấn công ngầm”, khiến việc kiểm tra bằng mắt thường hoặc các phương pháp sơ bộ gần như không hiệu quả.

Khi được kích hoạt, GlassWorm có khả năng đánh cắp hàng loạt dữ liệu nhạy cảm như ví tiền điện tử, khóa bảo mật SSH, mã xác thực truy cập và thông tin hệ thống của lập trình viên. Từ đó, tin tặc tiếp tục mở rộng xâm nhập sâu vào mạng nội bộ của tổ chức, biến các thiết bị nhiễm mã độc thành bàn đạp để thao túng mã nguồn và phát tán virus theo cấp số nhân trong toàn bộ chuỗi cung ứng phần mềm.

Đáng lo ngại hơn, phạm vi tấn công đã lan rộng vào chính môi trường làm việc hằng ngày của giới lập trình thông qua các công cụ phát triển, tiện ích mở rộng và các thư viện phụ thuộc (dependencies). Điều này khiến nguy cơ lây nhiễm trở nên âm thầm nhưng có sức lan tỏa cực lớn.

Tại Việt Nam, nhiều doanh nghiệp công nghệ và startup hiện đang phát triển phần mềm dựa trên mã nguồn mở và các thư viện miễn phí. Các nền tảng như GitHub hay npm được sử dụng rộng rãi trong quá trình xây dựng sản phẩm. Nếu một thư viện phổ biến bị chèn mã độc, rủi ro có thể lan rộng sang hàng loạt dự án và hệ thống doanh nghiệp thông qua các phụ thuộc mà lập trình viên sử dụng.

Ông Lê Tiến Thịnh, Giám đốc Sản phẩm An ninh mạng của Bkav nhận định: GlassWorm phản ánh xu hướng tấn công mới, khi tin tặc chuyển từ nhắm trực tiếp vào người dùng sang khai thác các nền tảng và công cụ phát triển phần mềm. “Chỉ cần một mắt xích trong chuỗi cung ứng bị nhiễm, hậu quả có thể lan tới hàng nghìn, thậm chí hàng triệu người dùng cuối, với mức độ thiệt hại khó có thể đo đếm”, ông nhấn mạnh.

Trước nguy cơ trên, các chuyên gia khuyến cáo lập trình viên và tổ chức công nghệ cần chủ động tăng cường các biện pháp bảo mật. Trong đó, cần ghim phiên bản và tắt cập nhật tự động đối với thư viện, tiện ích mở rộng; tích hợp công cụ quét mã tự động trong môi trường phát triển (IDE) và quy trình CI/CD để phát hiện sớm mã độc bị làm rối hoặc chứa ký tự ẩn.

Bên cạnh đó, các kho mã nguồn cần áp dụng xác thực đa yếu tố (MFA), tuân thủ nguyên tắc phân quyền tối thiểu, đồng thời hạn chế các thao tác nhạy cảm như force-push trên các nhánh quan trọng. Doanh nghiệp cũng cần đảm bảo toàn bộ thiết bị đầu cuối được trang bị phần mềm bảo mật chuyên sâu, kết hợp các giải pháp EDR/XDR nhằm phát hiện và xử lý các mối đe dọa tinh vi, ẩn mình lâu dài trong hệ thống. Trong trường hợp phát hiện dấu hiệu bất thường, cần ngay lập tức đổi mật khẩu, thu hồi token truy cập và rà soát toàn bộ hoạt động của kho mã nguồn để kịp thời ngăn chặn nguy cơ lan rộng.