Tin tức từ Gate, ngày 28 tháng 4 — Các nhà nghiên cứu an ninh đã phát hiện 73 tiện ích mở rộng độc hại do phần mềm độc hại GlassWorm cấy trong sổ đăng ký (registry) của OpenVSX, trong đó có sáu tiện ích đã được kích hoạt để đánh cắp ví tiền mã hóa và thông tin xác thực của nhà phát triển. Các tiện ích mở rộng này được tải lên dưới dạng các bản sao giả mạo của các danh sách hợp pháp, với mã độc được tiêm vào thông qua các bản cập nhật sau đó.

GlassWorm lần đầu xuất hiện vào tháng 10 năm 2025, sử dụng các ký tự Unicode vô hình để ẩn mã nhắm mục tiêu vào dữ liệu ví tiền mã hóa và thông tin xác thực của nhà phát triển. Kể từ đó, chiến dịch đã lan sang các gói npm, kho lưu trữ GitHub, Thị trường Visual Studio Code và OpenVSX. Vào giữa tháng 3 năm 2026, một đợt tấn công lớn đã ảnh hưởng đến hàng trăm kho lưu trữ và hàng chục tiện ích mở rộng, buộc nhiều nhóm nghiên cứu an ninh phải can thiệp. Kẻ tấn công sử dụng chiến lược kích hoạt bị trì hoãn: ban đầu phân phối các tiện ích mở rộng “sạch” để tạo cơ sở cài đặt, trước khi triển khai mã độc thông qua các bản cập nhật. Nhóm nghiên cứu Socket đã xác định ba phương thức phân phối: tải một gói VSIX thứ hai từ GitHub thông qua các lệnh CLI, triển khai các mô-đun đã biên dịch đặc thù theo nền tảng như các tệp .node chứa logic lõi độc hại, và sử dụng JavaScript bị che giấu nặng đến mức khi chạy sẽ giải mã để tải và cài đặt payload độc hại.

Mối đe dọa không chỉ dừng lại ở OpenVSX. Vào ngày 22 tháng 4, sổ đăng ký npm trong một thời gian ngắn đã lưu trữ phiên bản độc hại của CLI Bitwarden dưới đúng tên gói chính thức trong 93 phút. Gói bị xâm phạm đã đánh cắp token GitHub, token npm, khóa SSH, thông tin xác thực AWS và Azure, cùng với các bí mật của GitHub Actions. Bitwarden, đơn vị phục vụ hơn 10 triệu người dùng trên hơn 50.000 doanh nghiệp, xác nhận mối liên hệ với một chiến dịch quy mô rộng hơn được các nhà nghiên cứu Checkmarx theo dõi. Tấn công chuỗi cung ứng khai thác khoảng trễ giữa thời điểm công bố gói và việc xác minh nội dung; Sonatype cho biết có khoảng 454.600 gói độc hại đã xâm nhập các sổ đăng ký trong năm 2025.

Socket khuyến nghị các nhà phát triển đã cài đặt bất kỳ trong 73 tiện ích mở rộng OpenVSX bị gắn cờ nào thì hãy xoay (rotate) toàn bộ bí mật và dọn sạch môi trường phát triển. Các quan sát viên an ninh đang theo dõi liệu 67 tiện ích mở rộng còn lại đang ở trạng thái “ngủ yên” có được kích hoạt trong những ngày tới hay không và liệu OpenVSX có triển khai các cơ chế kiểm duyệt chặt chẽ hơn cho việc cập nhật tiện ích mở rộng hay không.

Xem nguồn

Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ các nguồn bên thứ ba và chỉ mang tính chất tham khảo. Thông tin này không phản ánh quan điểm hoặc ý kiến của Gate và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Giao dịch tài sản ảo tiềm ẩn rủi ro cao. Vui lòng không chỉ dựa vào thông tin trên trang này khi đưa ra quyết định. Để biết thêm chi tiết, vui lòng xem Tuyên bố miễn trừ trách nhiệm.

Tin tức liên quan

04-28 11:17

Bốn Ví Mới Được Tạo Rút 353.893 DEXE Trị Giá 5,3M USD Từ Một CEX Lớn

04-28 04:31

Người dùng Robinhood bị nhắm mục tiêu trong cuộc tấn công phishing lợi dụng tính năng bí danh dấu chấm của Gmail

04-28 02:45

Năm Địa Chỉ Mới Được Tạo Rút 512.018 DEXE Trị Giá Khoảng 7,52 Triệu USD

04-27 23:49

ZetaChain dừng các giao dịch xuyên chuỗi sau cuộc tấn công vào hợp đồng GatewayEVM

04-27 02:41

Litecoin Thực Hiện Tái Tổ Chức Chuỗi Sâu Để Gỡ Rối Lỗi Khai Thác Lớp Riêng Tư MWEB

Phân tích chuyên sâu