Hãy tưởng tượng bạn đang dùng một chiếc ô tô hoàn hảo, rồi một ngày nào đó sau khi update phần mềm, chiếc xe bất ngờ chở bạn đến những nơi bạn không hề muốn đến. Đó chính xác là những gì đang xảy ra với 73 extension trên nền tảng OpenVSX - kho lưu trữ extension mã nguồn mở thay thế cho Visual Studio Code. Chiến dịch tấn công GlassWorm đã quay trở lại với chiêu thức tinh vi chưa từng có: biến những extension 'ngủ say' thành vũ khí tấn công chỉ bằng một lần cập nhật. Chúng tôi cho rằng đây là bước tiến hóa nguy hiểm trong thế giới malware, khi tin tặc không còn cần đánh lừa người dùng cài đặt phần mềm độc hại từ đầu.

Chiêu bài 'ngựa thành Troy' thời hiện đại

OpenVSX Registry là marketplace mã nguồn mở được Eclipse Foundation phát triển, cho phép các nhà phát triển tải về và cài đặt extension cho VS Code. Khác với Microsoft Marketplace chính thức, OpenVSX có chính sách kiểm duyệt lỏng lẻo hơn, tạo cơ hội cho tin tặc khai thác. Theo phân tích của chúng tôi, GlassWorm đã lợi dụng đúng điểm yếu này một cách cực kỳ tinh vi.

73 extension độc hại được phát hiện đều hoạt động theo mô hình 'sleeper' - ban đầu chúng hoàn toàn vô hại, thậm chí còn cung cấp các tính năng hữu ích để tạo dựng uy tín. Chúng tôi đã kiểm tra các phiên bản đầu tiên của những extension này, và thực sự không tìm thấy bất kỳ dấu hiệu đáng ngờ nào. Tuy nhiên, sau khi các extension thu hút được lượng người dùng nhất định, tin tặc sẽ push update chứa mã độc lên server, biến chúng thành công cụ tấn công.

Giải mã kỹ thuật tấn công 'update bẫy'

Modus operandi (phương thức hoạt động) của GlassWorm lần này cho thấy sự tinh vi đáng lo ngại. Thay vì tạo extension độc hại từ đầu, nhóm tin tặc này áp dụng chiến thuật 'bait and switch' - câu cá và thay thế. Extension trong giai đoạn đầu thực hiện đúng chức năng được mô tả, tạo review tích cực và xây dựng độ tin cậy. Khi đã có đủ lượng người dùng cài đặt, bản update tiếp theo sẽ chèn thêm payload độc hại.

Điều nguy hiểm là VS Code có cơ chế tự động update extension theo mặc định. Điều này có nghĩa người dùng có thể bị nhiễm malware mà không hề hay biết, chỉ đơn giản vì để chế độ cập nhật tự động bật. Payload của GlassWorm chủ yếu tập trung vào việc thu thập thông tin nhạy cảm từ máy tính nạn nhân, bao gồm source code, thông tin đăng nhập và dữ liệu dự án. Với các lập trình viên, đây là những tài sản có giá trị vô cùng lớn.

Cú sốc với cộng đồng developer toàn cầu

Con số 73 extension nhiễm độc không phải là con số nhỏ trong hệ sinh thái OpenVSX. Ước tính sơ bộ cho thấy có thể có hàng chục nghìn lập trình viên trên toàn thế giới đã vô tình cài đặt ít nhất một trong những extension này. Tại Việt Nam, với hơn 500.000 lập trình viên đang hoạt động, nguy cơ ảnh hưởng là rất thực tế, đặc biệt khi VS Code là editor được sử dụng rộng rãi nhất trong cộng đồng developer Việt.

Điều đáng lo ngại hơn nữa là GlassWorm không nhắm vào người dùng phổ thông mà tập trung vào các lập trình viên - những người có quyền truy cập vào hệ thống quan trọng và mã nguồn có giá trị. Một cuộc tấn công thành công có thể dẫn đến việc source code độc quyền bị đánh cắp, thông tin đăng nhập hệ thống production bị lộ, hoặc thậm chí là cài cắm backdoor vào các dự án phần mềm đang phát triển.

Hành động ngay để bảo vệ máy tính của bạn

Trước tiên, các lập trình viên cần kiểm tra ngay danh sách extension đã cài đặt trong VS Code. Truy cập View > Extensions, sau đó rà soát kỹ lưỡng những extension nào đã được cài từ OpenVSX thay vì Microsoft Marketplace chính thức. Tạm thời gỡ bỏ những extension không thực sự cần thiết, đặc biệt là những cái có ít lượt tải về hoặc review. Tiếp theo, tắt tính năng tự động cập nhật extension bằng cách vào File > Preferences > Settings, tìm 'extensions.autoUpdate' và chuyển sang 'None'.

Chúng tôi khuyến nghị mạnh mẽ các doanh nghiệp Việt Nam cần thiết lập policy nghiêm ngặt về việc sử dụng extension của nhà phát triển. Chỉ cho phép cài đặt extension từ các nguồn đáng tin cậy, có quy trình review nội bộ trước khi triển khai rộng rãi. Đối với các cá nhân, hãy ưu tiên sử dụng Microsoft Marketplace chính thức thay vì OpenVSX, mặc dù cần trả phí cho một số extension cao cấp. An toàn luôn đáng giá hơn sự tiện lợi, đặc biệt khi công việc và dữ liệu quan trọng đang bị đe dọa.