Hàng triệu lập trình viên trên thế giới có thể đang sử dụng những "công cụ làm việc" nguy hiểm mà không hề hay biết. Các chuyên gia an ninh mạng vừa phát hiện 73 extension giả mạo trên kho Open VSX của Microsoft Visual Studio Code, trong đó 6 extension đã được xác nhận mang theo malware GlassWorm v2 - một loại phần mềm độc hại chuyên đánh cắp thông tin. Điều đáng lo ngại hơn là các extension này được tạo ra tinh vi đến mức gần như không thể phân biệt với phiên bản chính thức.

Chiến dịch tấn công tinh vi nhắm vào cộng đồng developer

Cuộc tấn công này không phải ngẫu nhiên hay đơn lẻ. Các chuyên gia an ninh mạng cho biết đây là một chiến dịch có tổ chức, được đặt tên GlassWorm, nhắm cụ thể vào cộng đồng lập trình viên. Thủ đoạn của hacker là sao chép (clone) các extension phổ biến, sau đó chèn mã độc vào và phát hành trên kho Open VSX repository. Trong 73 extension giả mạo được phát hiện, 6 extension đã được xác nhận chứa mã độc thực sự, còn lại có thể đang trong giai đoạn "ngủ đông" chờ được kích hoạt.

Chúng tôi đánh giá đây là một trong những chiến dịch tấn công chuỗi cung ứng phần mềm (supply chain attack) tinh vi nhất trong năm 2024. Việc nhắm vào VS Code - công cụ phát triển phần mềm được hàng chục triệu developer sử dụng - cho thấy tham vọng lớn của nhóm tấn công. Họ không chỉ muốn đánh cắp dữ liệu cá nhân mà còn có thể truy cập vào mã nguồn, thông tin nội bộ của các dự án quan trọng.

Giải mã kỹ thuật đằng sau GlassWorm v2

GlassWorm v2 là phiên bản nâng cấp của malware cùng tên, hoạt động như một information stealer (phần mềm đánh cắp thông tin). Khi được cài đặt thông qua extension giả mạo, nó có khả năng thu thập nhiều loại dữ liệu nhạy cảm bao gồm: thông tin đăng nhập được lưu trong trình duyệt, cookie và session token, dữ liệu clipboard (bảng tạm), thông tin về hệ thống và môi trường phát triển. Đặc biệt nguy hiểm, malware này có thể truy cập vào các API key, database connection string và các thông tin xác thực khác thường được lưu trong môi trường làm việc của developer.

Kỹ thuật "ngụy trang" của các extension này cũng rất tinh vi. Chúng sử dụng tên gần giống với extension gốc, icon tương tự và mô tả gần như identique. Việc phát hiện chỉ có thể thực hiện thông qua phân tích mã nguồn hoặc theo dõi hành vi bất thường của hệ thống. Điều này giải thích tại sao nhiều developer đã cài đặt mà không nghi ngờ gì.

Tác động nghiêm trọng với cộng đồng lập trình Việt Nam

Theo thống kê của GitHub, Việt Nam có hơn 500,000 developer đang hoạt động, trong đó phần lớn sử dụng VS Code làm công cụ chính. Nếu chỉ 1% trong số này vô tình cài đặt extension độc hại, con số thiệt hại có thể lên tới hàng nghìn lập trình viên bị ảnh hưởng. Đối với các công ty công nghệ Việt Nam, rủi ro còn lớn hơn khi thông tin khách hàng, mã nguồn sản phẩm có thể bị rò rỉ.

Chúng tôi nhận thấy nhiều startup và công ty outsourcing tại Việt Nam thường ít đầu tư vào bảo mật môi trường phát triển. Vụ việc này một lần nữa nhắc nhở rằng không chỉ sản phẩm cuối cần được bảo vệ, mà cả quy trình phát triển cũng phải được kiểm soát chặt chẽ.

Hướng dẫn bảo vệ khẩn cấp cho developer Việt Nam

Lập trình viên cần thực hiện ngay các bước sau để đảm bảo an toàn. Đầu tiên, kiểm tra danh sách extension đã cài đặt trong VS Code thông qua phần Extensions Manager, đặc biệt chú ý những extension cài từ Open VSX repository. Xóa bỏ những extension có tên tương tự nhau hoặc từ publisher không rõ nguồn gốc. Tiếp theo, thay đổi ngay tất cả password quan trọng, đặc biệt là các tài khoản liên quan đến công việc như GitHub, GitLab, AWS, các dịch vụ cloud khác.

Về lâu dài, developer nên chỉ cài extension từ marketplace chính thức của Microsoft, kiểm tra rating và số lượt download trước khi cài đặt, đọc kỹ quyền truy cập (permission) mà extension yêu cầu. Các công ty nên xây dựng whitelist extension được phép sử dụng và triển khai giám sát bảo mật cho môi trường phát triển. Đây không chỉ là vấn đề cá nhân mà là trách nhiệm tập thể của toàn ngành công nghệ thông tin Việt Nam.