GlassWorm, một chiến dịch mã độc tự lan truyền cực kỳ tinh vi, vừa tái xuất và tiếp tục gây nguy hiểm cho hệ sinh thái lập trình toàn cầu khi lây nhiễm thêm ba tiện ích mở rộng mới trên nền tảng VS Code. Theo Koi Security – đơn vị đầu tiên phát hiện chiến dịch này – làn sóng lây nhiễm mới xảy ra chỉ 16 ngày sau khi OpenVSX tuyên bố đã kiểm soát hoàn toàn sự cố vào ngày 21/10/2025. Điều này cho thấy GlassWorm không những chưa bị triệt phá mà còn có khả năng phục hồi và mở rộng rất nhanh.
Ngày 6/11/2025, Koi Security ghi nhận ba tiện ích mở rộng trên OpenVSX bị nhiễm GlassWorm, bao gồm: ai-driven-dev.ai-driven-dev, adhamu.history-in-sublime-merge và yasuyuky.transient-emacs, với tổng số lượt tải lên tới gần 10.000. Chỉ riêng đợt nhiễm này đã khiến khoảng 10.000 máy tính của lập trình viên và tổ chức bị ảnh hưởng, trải rộng tại Mỹ, Nam Mỹ, châu Âu, châu Á và thậm chí liên quan tới một cơ quan chính phủ lớn ở Trung Đông.
Điểm nguy hiểm nhất của GlassWorm nằm ở kỹ thuật ẩn mã độc bằng các ký tự Unicode vô hình. Kẻ tấn công chèn payload vào những ký tự không thể nhìn thấy bằng mắt thường, khiến đoạn mã độc “biến mất” khi đọc mã nguồn nhưng vẫn được trình thông dịch thực thi bình thường. Cách thức này giúp mã độc hòa trộn hoàn toàn với mã hợp lệ, vượt qua cả sự kiểm tra thủ công của lập trình viên lẫn nhiều công cụ phân tích tự động.
Không dừng lại ở đó, GlassWorm còn lan rộng sang các kho GitHub bằng cách đánh cắp thông tin xác thực và đẩy các commit độc hại vào nhiều repository khác nhau. Các commit này được tạo với sự hỗ trợ của AI, giúp payload ẩn sâu trong mã hợp lệ, khiến việc phát hiện càng trở nên khó khăn. Hạ tầng điều khiển của GlassWorm được thiết kế để tồn tại lâu dài khi lợi dụng blockchain Solana làm kênh điều khiển và cập nhật (C2). Chỉ với các giao dịch blockchain chi phí cực thấp, mã độc có thể tự động nhận endpoint mới ngay cả khi server điều khiển chính bị vô hiệu hóa.
Mặc dù đã có nhiều nỗ lực ngăn chặn, GlassWorm vẫn duy trì hoạt động ổn định. Dữ liệu mà Koi Security thu thập được từ một endpoint bị lộ cho thấy quy mô thiệt hại thực tế rất lớn, đồng thời cung cấp manh mối quan trọng để truy vết các mục tiêu bị xâm nhập. Sự tái xuất của GlassWorm là lời cảnh báo nghiêm trọng về mối đe dọa tấn công chuỗi cung ứng phần mềm, đặc biệt với các kỹ thuật ẩn mã ngày càng tinh vi, đòi hỏi cộng đồng phát triển và các tổ chức phải chủ động tăng cường kiểm tra, giám sát và bảo mật mã nguồn.
