Tấn công chuỗi cung ứng phần mềm GlassWorm nguy hiểm

GlassWorm là một chiến dịch tấn công chuỗi cung ứng phần mềm nhắm vào Open VSX marketplace, với việc phát hiện thêm 73 tiện ích mở rộng sleeper. Đây là một biến thể đáng chú ý trong nhóm lỗ hổng CVE và mối đe dọa mạng liên quan đến hệ sinh thái phát triển phần mềm, dù nội dung gốc không nêu rõ mã CVE cụ thể.

GlassWorm và mô hình tấn công chuỗi cung ứng phần mềm

Chiến dịch này được xác định vào tháng 4/2026, sau một đợt trước đó vào tháng 3/2026 khi các nhà nghiên cứu ghi nhận 72 extension độc hại trên Open VSX. Các tiện ích này có liên hệ với hoạt động GlassWorm và cho thấy chiến thuật phát tán mã độc đang được điều chỉnh để tránh bị phát hiện.

Trong các biến thể trước, kẻ tấn công tận dụng dependency features của extension để cài loader độc hại một cách âm thầm. Ở đợt mới, mục tiêu chuyển sang một mô hình khó nhận diện hơn: extension chỉ đóng vai trò thin loader, tải payload bên ngoài thay vì chứa trực tiếp mã độc trong source code.

Sleeper extension là gì

Sleeper extension là gói giả mạo được phát hành trước khi bị “vũ khí hóa”. Ban đầu, chúng trông vô hại để tạo độ tin cậy, tăng lượt tải và hợp thức hóa nhà phát hành. Đây là kỹ thuật phổ biến trong tấn công mạng vào hệ sinh thái phần mềm, đặc biệt khi nhắm vào nhà phát triển.

Những extension này thường được sao chép từ công cụ phổ biến, sau đó thay đổi tên nhà phát hành. Một ví dụ được ghi nhận là Turkish Language Pack for Visual Studio Code, trong đó biểu tượng globe và mô tả được sao chép gần như nguyên bản.

Cách thức triển khai trong chiến dịch GlassWorm

Kẻ tấn công sử dụng các tài khoản GitHub mới tạo để đăng tải các phiên bản clone của tiện ích phổ biến. Sau khi lập trình viên cài đặt, chúng chờ một khoảng thời gian trước khi đẩy bản cập nhật chứa mã độc. Theo nội dung gốc, ít nhất 6 trong số 73 extension mới đã được kích hoạt để phát tán payload.

Ở giai đoạn thực thi, mã độc không còn nằm trực tiếp trong source code của extension, làm tăng khả năng evade detection. Cách tiếp cận này làm phức tạp quá trình phát hiện xâm nhập bằng các cơ chế kiểm tra tĩnh, vì phần độc hại được tách ra khỏi gói cài đặt ban đầu.

Hai phương thức thực thi chính

Nội dung gốc cho biết chiến dịch sử dụng 2 phương thức thực thi chính, nhưng không liệt kê chi tiết từng phương thức. Điều này cho thấy cấu trúc payload có thể được phân phối theo nhiều bước, thay vì nhúng trực tiếp toàn bộ logic vào extension.

Ảnh hưởng hệ thống và rủi ro bảo mật

GlassWorm đặt ra rủi ro an toàn thông tin đối với môi trường phát triển, đặc biệt là các máy trạm có quyền truy cập vào kho mã nguồn, khóa API, token hoặc hạ tầng CI/CD. Khi extension giả mạo được cài đặt, hệ thống có thể bị xâm nhập trái phép thông qua cơ chế cập nhật sau cài đặt.

Vì payload được tải từ bên ngoài, chiến dịch này có thể thay đổi nhanh mà không cần phát hành lại toàn bộ extension. Điều đó làm tăng nguy cơ rò rỉ dữ liệu, đánh cắp thông tin xác thực và mở rộng quyền truy cập trong môi trường phát triển.

Đối với bộ phận an ninh mạng, việc giám sát chỉ dựa vào mã nguồn extension là chưa đủ. Cần chú ý thêm hành vi cập nhật, namespace của nhà phát hành và số lượng lượt tải bất thường.

Chỉ dấu cần theo dõi

Phần nội dung gốc có nhắc đến Indicators of Compromise, nhưng không cung cấp IOC cụ thể. Vì vậy, danh sách IOC dưới đây không thể trích xuất từ nguồn ban đầu và được bỏ qua theo đúng yêu cầu.

Kiểm tra publisher namespace và lượt tải

Theo Socket Research Team, nhà phát triển cần xác minh kỹ publisher namespace và kiểm tra download counts trước khi cài extension từ Open VSX. Đây là bước kiểm tra quan trọng để giảm nguy cơ cài đặt các gói giả mạo trong chuỗi cung ứng phần mềm.

Tham khảo thêm từ nguồn nghiên cứu: Socket Research Team: 73 Open VSX sleeper extensions – GlassWorm.

Khuyến nghị kỹ thuật cho đội ngũ phát triển

Để giảm thiểu nguy cơ bảo mật từ tấn công chuỗi cung ứng phần mềm, cần ưu tiên quy trình kiểm tra nhà phát hành, đối chiếu tên gói, lịch sử cập nhật và dấu hiệu thay đổi bất thường sau khi cài đặt. Với các extension không rõ nguồn gốc, việc rà soát quyền truy cập và hành vi kết nối mạng là cần thiết.

Khi phát hiện một extension có dấu hiệu khác thường, nên tạm ngưng sử dụng và kiểm tra lại toàn bộ môi trường phát triển, bao gồm các token, credential và kho mã liên quan. Đây là biện pháp phù hợp để hạn chế hệ thống bị xâm nhập thông qua lớp tiện ích mở rộng.