GlassWorm Tấn Công Chuỗi Cung Ứng macOS: Nguy Hiểm Đe Dọa Nhà Phát Triển

Chiến dịch GlassWorm đã nổi lên như một mối đe dọa nghiêm trọng, nhắm mục tiêu vào các nhà phát triển sử dụng Open VSX Registry. Trong chiến dịch này, các tiện ích mở rộng VSX phổ biến đã bị biến thành phương tiện phát tán mã độc một cách âm thầm, đánh dấu một kỹ thuật tấn công chuỗi cung ứng tinh vi.

Các tác nhân đe dọa đã thỏa hiệp một tài khoản nhà xuất bản đáng tin cậy, đẩy các bản cập nhật độc hại trông giống như các bản phát hành thông thường nhưng thực chất lại mang một loader tải về theo giai đoạn (staged loader).

Phân tích kỹ thuật Tấn công Chuỗi Cung ứng Open VSX

Kỹ thuật xâm nhập và Phát tán Mã độc

Các nhà phân tích từ Socket.dev đã xác định chiến dịch GlassWorm là một cuộc tấn công chuỗi cung ứng thông qua thỏa hiệp tài khoản nhà phát triển.

Nhiều khả năng, sự kiện này được kích hoạt bởi rò rỉ publishing tokens hoặc các hình thức truy cập trái phép khác vào tài khoản nhà xuất bản oorzc.

Sau khi các phiên bản độc hại được đưa lên, bất kỳ nhà phát triển nào cài đặt hoặc cập nhật các tiện ích mở rộng bị ảnh hưởng đều có nguy cơ tải xuống loader GlassWorm mà không có bất kỳ cảnh báo rõ ràng nào.

Các tiện ích mở rộng bị ảnh hưởng

Chiến dịch này đã lạm dụng bốn tiện ích mở rộng (extensions) phổ biến có trong namespace oorzc, tổng cộng có hơn 22.000 lượt tải xuống. Các công cụ này được sử dụng rộng rãi cho các tác vụ phát triển hàng ngày, biến chúng thành các điểm xâm nhập tiềm năng cho kẻ tấn công.

Các tiện ích mở rộng bị thỏa hiệp bao gồm:

• FTP/SFTP/SSH Sync Tool: Công cụ đồng bộ hóa tập tin và truy cập từ xa.
• I18n Tools: Công cụ quốc tế hóa cho ứng dụng.
• vscode mindmap: Tiện ích tạo bản đồ tư duy.
• scss to css: Công cụ chuyển đổi SCSS sang CSS.

Đối với người dùng thông thường, các tiện ích này hoàn toàn không có dấu hiệu độc hại tại thời điểm tấn công, làm nổi bật mức độ khó khăn trong việc phát hiện các mối đe dọa như vậy bằng mắt thường.

Nhóm bảo mật Open VSX sau đó đã xác nhận sự thỏa hiệp, gỡ bỏ các bản phát hành độc hại và thu hồi các token của nhà xuất bản.

Tuy nhiên, khoảng thời gian phơi nhiễm đủ dài đã làm dấy lên những lo ngại nghiêm trọng về khả năng thông tin đăng nhập bị đánh cắp và việc lạm dụng hệ thống người dùng về sau.

Cơ chế hoạt động của mã độc GlassWorm trên macOS

GlassWorm không phải là một cái tên mới trong hệ sinh thái mã độc, nhưng đợt tấn công này cho thấy sự leo thang rõ ràng trong kỹ thuật tấn công.

Thay vì dựa vào các dự án giả mạo hoặc nhân bản, các tác nhân đe dọa đã ẩn mình bên trong các tiện ích mở rộng thực, đã tồn tại lâu đời với lịch sử sử dụng hợp pháp.

Mã độc tập trung nặng vào các hệ thống macOS, nơi nó thực hiện việc đánh cắp dữ liệu trình duyệt, ví tiền điện tử và các tập tin nhạy cảm.

Ngoài ra, GlassWorm cũng nhắm mục tiêu vào các tài liệu dành cho nhà phát triển như SSH keys, AWS credentials, và các token GitHub hoặc npm.

Chuỗi lây nhiễm đa giai đoạn

Cơ chế lây nhiễm của GlassWorm hoạt động theo một chuỗi thực thi phân đoạn (staged execution chain).

Giai đoạn đầu tiên giải mã và chạy một payload được nhúng. Payload này sau đó sẽ tiến hành profile máy chủ (host profiling), tránh các hệ thống có ngôn ngữ (locale) tiếng Nga, và lấy các lệnh điều khiển và kiểm soát (Command and Control – C2) tiếp theo từ các giao dịch memos của Solana.

Một giai đoạn cuối cùng, tập trung vào macOS, thu thập thông tin đăng nhập, keychains và các tài liệu quan trọng.

Các dữ liệu này sau đó được nén vào một kho lưu trữ và được đưa ra ngoài (exfiltrate) tới cơ sở hạ tầng do kẻ tấn công kiểm soát. Đồng thời, một mục nhập LaunchAgent được tạo ra để đảm bảo mã độc macOS này tồn tại sau khi khởi động lại và tiếp tục chạy trong nền.

Mục tiêu đánh cắp dữ liệu

Sự chuyển dịch này từ việc trộm cắp thông tin đơn giản sang việc truy cập sâu vào chuỗi cung ứng có nghĩa là một máy tính xách tay bị thỏa hiệp có thể nhanh chóng trở thành một bước đệm để xâm nhập vào môi trường đám mây và các quy trình CI/CD (Continuous Integration/Continuous Deployment).

Các dữ liệu nhạy cảm mà GlassWorm có thể thu thập bao gồm:

• Dữ liệu trình duyệt web (cookies, lịch sử, mật khẩu đã lưu).
• Ví tiền điện tử.
• Tập tin nhạy cảm của người dùng.
• Khóa SSH (Secure Shell).
• Thông tin xác thực AWS (Amazon Web Services).
• Token GitHub và npm.

Phản ứng và Biện pháp Đối phó

Phản ứng từ cộng đồng và Open VSX

Phản ứng kịp thời từ nhóm bảo mật Open VSX là rất quan trọng trong việc hạn chế sự lây lan của mã độc GlassWorm. Việc gỡ bỏ các phiên bản độc hại và thu hồi token của nhà xuất bản đã giúp ngăn chặn thêm các trường hợp lây nhiễm.

Tuy nhiên, sự cố này làm nổi bật lỗ hổng tiềm ẩn trong quy trình quản lý tài khoản nhà phát triển và tầm quan trọng của việc bảo vệ các khóa và token phát hành.

Khuyến nghị bảo mật

Để giảm thiểu rủi ro từ các cuộc tấn công chuỗi cung ứng tương tự như GlassWorm, các nhà phát triển và tổ chức nên thực hiện các biện pháp bảo mật sau:

• Kiểm tra tính toàn vẹn: Thường xuyên kiểm tra tính toàn vẹn của các tiện ích mở rộng đã cài đặt và các gói phần mềm.
• Bảo vệ thông tin xác thực: Sử dụng các phương pháp bảo vệ mạnh mẽ cho các publishing tokens, khóa SSH và thông tin xác thực đám mây (ví dụ: MFA, quản lý khóa an toàn).
• Theo dõi hoạt động bất thường: Triển khai các hệ thống phát hiện xâm nhập (IDS) hoặc giám sát các hoạt động bất thường trên hệ thống phát triển, đặc biệt là các hành vi truy cập hoặc sửa đổi token.
• Cập nhật và vá lỗi: Đảm bảo tất cả hệ điều hành, trình duyệt và phần mềm phát triển được cập nhật các bản vá bảo mật mới nhất để ngăn chặn các lỗ hổng đã biết.
• Phân tích hành vi mã độc: Sử dụng các công cụ phân tích hành vi để phát hiện các dấu hiệu hoạt động đáng ngờ từ các tiện ích mở rộng hoặc ứng dụng.