Chiến dịch GlassWorm leo thang: Lợi dụng 72 extension Open VSX để tấn công chuỗi cung ứng phần mềm

Tấn công chuỗi cung ứng phần mềm leo thang

Các nhà nghiên cứu an ninh mạng vừa cảnh báo về một phiên bản mới của chiến dịch GlassWorm, được cho là một "sự leo thang đáng kể" trong cách thức lây lan qua kho lưu trữ Open VSX.

Trong một báo cáo công bố hôm thứ Sáu, công ty bảo mật chuỗi cung ứng phần mềm Socket cho biết: "Thay vì yêu cầu mỗi extension độc hại phải nhúng trực tiếp trình tải (loader), kẻ tấn công hiện đang lạm dụng extensionPack và extensionDependencies để biến các extension ban đầu có vẻ độc lập thành phương tiện phát tán trung gian trong các bản cập nhật sau này. Điều này cho phép một gói tiện ích có vẻ lành tính bắt đầu tải về một extension khác liên quan đến GlassWorm chỉ sau khi đã tạo được lòng tin từ người dùng."

Công ty cho biết đã phát hiện ít nhất 72 extension Open VSX độc hại mới kể từ ngày 31 tháng 1 năm 2026, nhắm mục tiêu vào các nhà phát triển. Các extension này giả mạo những tiện ích lập trình phổ biến, bao gồm các công cụ kiểm tra và định dạng mã (linters, formatters), trình chạy mã (code runners), và các công cụ trợ lý lập trình sử dụng trí tuệ nhân tạo (AI) như Clade Code và Google Antigravity.

Một số extension độc hại đã bị phát hiện và gỡ bỏ khỏi kho lưu trữ Open VSX bao gồm:

• angular-studio.ng-angular-extension
• crotoapp.vscode-xml-extension
• gvotcha.claude-code-extension
• mswincx.antigravity-cockpit
• tamokill12.foundry-pdf-extension
• turbobase.sql-turbo-tool
• vce-brendan-studio-eich.js-debuger-vscode

Thủ đoạn tinh vi của GlassWorm

GlassWorm là tên của một chiến dịch mã độc đang diễn ra, đã nhiều lần xâm nhập vào Microsoft Visual Studio Marketplace và Open VSX bằng các extension độc hại. Mục tiêu của chúng là đánh cắp thông tin nhạy cảm, rút cạn ví tiền điện tử và lạm dụng hệ thống bị nhiễm để làm proxy cho các hoạt động tội phạm khác.

Dù hoạt động này lần đầu được Koi Security phát hiện vào tháng 10 năm 2025, các gói npm sử dụng chiến thuật tương tự – đặc biệt là việc dùng ký tự Unicode vô hình để che giấu mã độc – đã được xác định từ tháng 3 năm 2025.

Phiên bản mới nhất vẫn giữ nhiều đặc điểm của GlassWorm: kiểm tra để tránh lây nhiễm vào các hệ thống có ngôn ngữ tiếng Nga và sử dụng giao dịch trên mạng Solana như một cơ chế "hộp thư chết" (dead drop resolver) để lấy địa chỉ máy chủ điều khiển và chỉ huy (C2), giúp tăng khả năng chống bị phát hiện.

Tuy nhiên, nhóm extension mới này còn được che giấu mã (obfuscation) kỹ lưỡng hơn, liên tục thay đổi ví Solana để né tránh bị phát hiện, và lạm dụng mối quan hệ phụ thuộc giữa các extension để triển khai mã độc. Thủ đoạn này tương tự như cách các gói npm dựa vào các phụ thuộc giả mạo để qua mặt hệ thống kiểm duyệt. Bất kể một extension được khai báo là extensionPack hay extensionDependencies trong tệp package.json, trình soạn thảo mã sẽ tự động cài đặt tất cả các extension khác được liệt kê trong đó.

Bằng cách này, chiến dịch GlassWorm sử dụng một extension làm trình cài đặt cho một extension độc hại khác. Điều này mở ra các kịch bản tấn công chuỗi cung ứng mới, khi kẻ tấn công ban đầu tải lên một extension VS Code hoàn toàn vô hại để vượt qua khâu kiểm duyệt, sau đó cập nhật nó để liệt kê một gói liên quan đến GlassWorm làm phụ thuộc.

"Kết quả là, một extension ban đầu trông có vẻ độc lập và tương đối lành tính có thể trở thành một phương tiện phát tán GlassWorm mà không cần thay đổi mục đích sử dụng rõ ràng của nó," Socket cho biết.

Liên kết với các chiến dịch khác

Trong một cảnh báo đồng thời, công ty Aikido đã quy kết kẻ đứng sau GlassWorm với một chiến dịch quy mô lớn đang lan rộng trên các kho mã nguồn mở. Những kẻ tấn công đã chèn các ký tự Unicode vô hình vào nhiều kho lưu trữ khác nhau để mã hóa mã độc. Mặc dù nội dung này không hiển thị khi được tải trong các trình soạn thảo mã và terminal, nó sẽ giải mã thành một trình tải có nhiệm vụ tìm và thực thi một kịch bản giai đoạn hai để đánh cắp token, thông tin đăng nhập và các dữ liệu nhạy cảm khác.

Ước tính có không dưới 151 kho lưu trữ GitHub đã bị ảnh hưởng trong chiến dịch này từ ngày 3 đến ngày 9 tháng 3 năm 2026. Ngoài ra, kỹ thuật Unicode tương tự đã được triển khai trong hai gói npm khác nhau, cho thấy một nỗ lực phối hợp trên nhiều nền tảng:

• @aifabrix/miso-client
• @iflow-mcp/watercrawl-watercrawl-mcp

Nhà nghiên cứu bảo mật Ilyas Makari cho biết: "Các đoạn mã độc không được chèn vào thông qua các commit đáng ngờ. Những thay đổi xung quanh trông rất thực tế: chỉnh sửa tài liệu, tăng phiên bản, tái cấu trúc nhỏ và sửa lỗi, tất cả đều phù hợp với phong cách của từng dự án. Mức độ tùy chỉnh theo từng dự án này cho thấy khả năng cao kẻ tấn công đang sử dụng các mô hình ngôn ngữ lớn để tạo ra các commit ngụy trang thuyết phục."

PhantomRaven hay một thử nghiệm bảo mật?

Diễn biến này xảy ra khi Endor Labs công bố phát hiện 88 gói npm độc hại mới được tải lên trong ba đợt từ tháng 11 năm 2025 đến tháng 2 năm 2026 thông qua 50 tài khoản dùng một lần. Các gói này có chức năng đánh cắp thông tin nhạy cảm từ máy bị xâm nhập, bao gồm biến môi trường, token CI/CD và siêu dữ liệu hệ thống.

Hoạt động này nổi bật với việc sử dụng Phụ thuộc động từ xa (Remote Dynamic Dependencies - RDD), trong đó tệp siêu dữ liệu package.json chỉ định một phụ thuộc tại một URL HTTP tùy chỉnh. Điều này cho phép kẻ tấn công sửa đổi mã độc một cách linh hoạt và vượt qua các cơ chế kiểm tra.

Ban đầu, các gói này được xác định là một phần của chiến dịch PhantomRaven. Tuy nhiên, công ty bảo mật ứng dụng này đã cập nhật rằng chúng có thể được tạo ra bởi một nhà nghiên cứu bảo mật như một phần của một thử nghiệm hợp pháp – một tuyên bố mà họ tỏ ra nghi ngờ, viện dẫn ba dấu hiệu đáng ngờ. Cụ thể, các thư viện này thu thập nhiều thông tin hơn mức cần thiết, không cung cấp sự minh bạch cho người dùng, và được xuất bản bởi các tài khoản và địa chỉ email được thay đổi một cách có chủ đích.

Tính đến ngày 12 tháng 3 năm 2026, chủ sở hữu của các gói này đã thực hiện thêm thay đổi, thay thế mã độc thu thập dữ liệu bằng một thông điệp "Hello, world!" đơn giản.

Endor Labs nhận định: "Mặc dù việc loại bỏ đoạn mã thu thập thông tin là đáng hoan nghênh, nó cũng cho thấy những rủi ro liên quan đến các phụ thuộc dựa trên URL. Khi các gói phần mềm dựa vào mã nguồn được lưu trữ bên ngoài kho npm, tác giả có toàn quyền kiểm soát mã độc mà không cần xuất bản phiên bản mới. Bằng cách sửa đổi một tệp duy nhất trên máy chủ – hoặc đơn giản là tắt nó đi – họ có thể âm thầm thay đổi hoặc vô hiệu hóa hành vi của mọi gói phụ thuộc cùng một lúc."