បណ្តាញម៉ាស៊ីនមេខ្មោច (Botnet) ឈ្មោះ Glassworm ដែលកំណត់គោលដៅវាយប្រហារលើក្រុមអ្នកអភិវឌ្ឍន៍កម្មវិធី (Developers) នៅក្នុងការវាយប្រហារលើខ្សែសង្វាក់ផ្គត់ផ្គង់កម្មវិធី (Software supply-chain attacks) ត្រូវបានកាត់ផ្ដាច់ និងបំផ្លាញចោល បន្ទាប់ពីក្រុមអ្នកស្រាវជ្រាវបានវាយកម្ទេចហេដ្ឋារចនាសម្ព័ន្ធបញ្ជា និងគ្រប់គ្រង (Command-and-control ឬ C2) ដ៏រឹងមាំរបស់វា ដែលបានពឹងផ្អែកលើប្រតិបត្តិការខ្សែសង្វាក់ប្លុក Solana (Solana Block Chain Transactions) និងបណ្តាញ BitTorrent DHT។
នៅក្នុងប្រតិបត្តិការរួមគ្នាដ៏ស៊ីសង្វាក់មួយដែលបានធ្វើឡើងកាលពីម្សិលមិញ ក្រុមហ៊ុន CrowdStrike, Google និងមូលនិធិ The Shadowserver Foundation បានកាត់ផ្ដាច់សិទ្ធិចូលប្រើប្រាស់របស់ពួកប្រតិបត្តិករ Botnet ទៅកាន់ប្រព័ន្ធបញ្ជា និងគ្រប់គ្រង (C2 channels) ចំនួនបួនផ្សេងគ្នា ដែលត្រូវបានបង្កើតឡើងក្នុងគោលបំណងប្រឆាំង និងទប់ទល់ទៅនឹងកិច្ចប្រឹងប្រែងបង្ក្រាបតាមបែបប្រពៃណី។
យុទ្ធនាការវាយប្រហាររបស់ Glassworm បាននិងកំពុងបន្តដំណើរការតាំងពីខែតុលា ឆ្នាំ ២០២៥ មកម៉្លេះ ហើយដំបូងឡើយវាបានកំណត់គោលដៅលើក្រុមអ្នកអភិវឌ្ឍន៍កម្មវិធី តាមរយៈការដាក់បញ្ចូលកម្មវិធីព្យាបាទបន្ថែម (Malicious Extensions) នៅក្នុង OpenVSX និង Microsoft VS Code ដើម្បីលួចយកកាបូបលុយគ្រីបតូ (Cryptocurrency wallets) រួមទាំងព័ត៌មានសម្ងាត់សម្រាប់ចូលប្រព័ន្ធរបស់ពួកអ្នកអភិវឌ្ឍន៍កម្មវិធីទាំងនោះ។ រលកនៃការវាយប្រហារបន្ទាប់ៗមកទៀត បានពង្រីកវិសាលភាពទៅដល់ឃ្លាំងផ្ទុកកូដ GitHub (GitHub repositories) និងកញ្ចប់កម្មវិធី npm (npm packages) ដោយនៅក្នុងយុទ្ធនាការមួយកាលពីខែមីនា បានជះឥទ្ធិពល និងរងផលប៉ះពាល់ដល់ផលិតផលកម្មវិធី (Software artifacts) រហូតដល់ទៅជាង ៤០០។
នៅក្នុងការវាយប្រហារថ្មីៗចុងក្រោយនេះ ពួកប្រតិបត្តិករ Glassworm បានបង្កប់កម្មវិធីបន្ថែមរាប់សិប ដែលស្ថិតក្នុងស្ថានភាពសម្ងំស្ងៀម (Dormant extensions) នៅលើ OpenVSX ដែលកម្មវិធីបន្ថែមទាំងនោះនឹងដំណើរការសមាសភាគជាអ្នកព្យាបាទ (Malicious component) ភ្លាមៗ បន្ទាប់ពីមានការធ្វើបច្ចុប្បន្នភាព (Update)។ មូលហេតុមួយដែលធ្វើឱ្យការគំរាមកំហែងរបស់ Glassworm អាចរស់រានមានជីវិតបានយូររហូតមកដល់ពេលនេះ គឺដោយសារតែហេដ្ឋារចនាសម្ព័ន្ធបញ្ជា និងគ្រប់គ្រង (C2) របស់វា ដែលពឹងផ្អែកលើបណ្តាញទំនាក់ទំនងមិនមែនបែបប្រពៃណី (Non-Traditional Communication Channels) ដែលមានការពិបាកខ្លាំងក្នុងការវាយកម្ទេច ឬបិទចោល។
ក្រុមហ៊ុន CrowdStrike បានកត់សម្គាល់ថា៖ «ការរួមបញ្ចូលគ្នារវាងបច្ចេកវិទ្យាខ្សែសង្វាក់ប្លុក (Blockchain) ប្រព័ន្ធតភ្ជាប់ពីឧបករណ៍មួយទៅឧបករណ៍មួយ (Peer-to-peer) និងសេវាកម្មគេហទំព័រស្របច្បាប់ ធ្វើជាស្រទាប់ដោះស្រាយទិន្នន័យ (Resolution layers) គឺត្រូវបានរចនាឡើងដើម្បីឱ្យមានភាពរឹងមាំទប់ទល់នឹងការបង្ក្រាប ពោលគឺវាដើរតួជាខែលការពារដ៏រស់រវើកមួយ ដើម្បីការពារម៉ាស៊ីនមេ C2 ពិតប្រាកដដែលនៅពីក្រោយស្រទាប់បង្វែរទិសដៅជាច្រើន»។
ក្រុមអ្នកស្រាវជ្រាវបាននិយាយថា «ពួកប្រតិបត្តិកររបស់ Glassworm បានបង្កើតហេដ្ឋារចនាសម្ព័ន្ធរបស់ពួកគេឡើងក្នុងគោលបំណងពង្រឹងភាពរឹងមាំ» ហើយការវាយកម្ទេចបណ្តាញម៉ាស៊ីនមេខ្មោច (Botnet) នេះ តម្រូវឱ្យមានការវាយប្រហារទៅលើប្រព័ន្ធបញ្ជា C2 ទាំងបួនក្នុងពេលដំណាលគ្នា៖
១- បណ្តាញ BitTorrent Distributed Hash Table (DHT)៖ កម្មវិធីមេរោគ GlasswormRAT ធ្វើការសាកសួរទៅកាន់បណ្តាញតភ្ជាប់ពីឧបករណ៍មួយទៅឧបករណ៍មួយ (Peer-to-peer) របស់ BitTorrent ដើម្បីទាញយកទិន្នន័យកំណត់រចនាសម្ព័ន្ធ (Configuration Data) ដែលត្រូវបានរក្សាទុកផ្គូផ្គងនឹងសោរ (Public keys) ដែលដាក់កូដជាប់នៅក្នុងមេរោគ។ វិធីសាស្ត្រនេះគឺផ្អែកលើបណ្តាញវិមជ្ឈការសកល (Decentralized network) ដែលគ្មានចំណុចខ្សោយកណ្តាលណាមួយអាចវាយប្រហារបានឡើយ។
២- ខ្សែសង្វាក់ប្លុក Solana (Solana blockchain)៖ អាសយដ្ឋានម៉ាស៊ីនមេ C2 ត្រូវបានបំប្លែងជាកូដដាក់ក្នុងប្រអប់អនុស្សរណៈ (Memo fields) នៃប្រតិបត្តិការនៅលើខ្សែសង្វាក់ប្លុក ដែលបង្កើតបានជាកន្លែងទម្លាក់ទិន្នន័យសម្ងាត់ (Dead drop) មួយដ៏រឹងមាំ មិនអាចកែប្រែបាន និងអាចចូលប្រើប្រាស់ជាសាធារណៈ ដែលប្រព័ន្ធបច្ចេកវិទ្យាបែបប្រពៃណីមិនអាចបិទវាឱ្យដំណើរការក្រៅបណ្តាញ (Offline) បានឡើយ។
៣- សេវាកម្មប្រតិទិនសាធារណៈ (Public calendar service)៖ Glassworm ប្រើប្រាស់ចំណងជើងព្រឹត្តិការណ៍នៅលើ Google Calendar ធ្វើជាកន្លែងទម្លាក់ទិន្នន័យសម្ងាត់ សម្រាប់ផ្ទុកផ្លូវនាំទៅកាន់ម៉ាស៊ីនមេ C2 ដែលត្រូវបានបំប្លែងជាកូដទម្រង់ Base64។
៤- ការតភ្ជាប់ម៉ាស៊ីនមេផ្ទាល់ (Direct server connections)៖ ហេដ្ឋារចនាសម្ព័ន្ធ C2 បែបប្រពៃណី ដែលមានផ្ទុកនៅលើក្រុមហ៊ុនផ្តល់សេវាកម្មម៉ាស៊ីនមេឯកជននិម្មិត (Commercial VPS providers) ដើរតួជាយន្តការចុងក្រោយសម្រាប់បញ្ជូនមេរោគបំផ្លិចបំផ្លាញ (Payload)។
ដោយសារតែរចនាសម្ព័ន្ធបែបនេះ ការកាត់ផ្ដាច់ប្រព័ន្ធណាមួយតែមួយ នឹងមិនសូវមានឥទ្ធិពលទៅលើប្រតិបត្តិការរបស់ Glassworm នោះទេ ព្រោះថាប្រព័ន្ធទំនាក់ទំនងរបស់វាអាចផ្លាស់ប្តូរទៅកាន់ប្រព័ន្ធផ្សេងទៀតបាន ដែលអនុញ្ញាតឱ្យជនខិលខូចនៅតែអាចបន្តគ្រប់គ្រងបានដដែល។ក្រុមហ៊ុន CrowdStrike បានបញ្ជាក់ថា៖ «ប្រព័ន្ធទាំងបួនត្រូវតែបានកាត់ផ្ដាច់ក្នុងពេលតែមួយ នៅក្នុងកិច្ចប្រឹងប្រែងរួមគ្នាដ៏ស៊ីសង្វាក់មួយ។ ជាលទ្ធផល ម៉ាស៊ីនដែលរងការឆ្លងមេរោគ មិនអាចទទួលបានការណែនាំ ឬមេរោគបំផ្លិចបំផ្លាញ (Payloads) ថ្មីៗទៀតឡើយ»។
បន្ទាប់ពីការបង្ក្រាប និងកាត់ផ្ដាច់នេះ រាល់ម៉ាស៊ីនទាំងអស់ដែលរងការខូចខាតនៅក្នុងការវាយប្រហាររបស់ Glassworm កំពុងតែបញ្ជូនសញ្ញា (Beaconing) ទៅកាន់អាសយដ្ឋាន IP 164.92.88.210 ដែលគ្រប់គ្រងដោយក្រុមហ៊ុន CrowdStrike។
ក្រុមហ៊ុន និងស្ថាប័ននានាត្រូវបានណែនាំឱ្យស្វែងរកសញ្ញាសម្គាល់បណ្តាញ (Network indicator) មួយនេះ ហើយចាត់វិធានការដោះស្រាយ និងស្តារប្រព័ន្ធឡើងវិញភ្លាមៗ។ បន្ថែមពីនេះ ក្រុមអ្នកស្រាវជ្រាវក៏បានបោះពុម្ភផ្សាយនូវច្បាប់ YARA (YARA rules) ដើម្បីផ្ទៀងផ្ទាត់ការឆ្លងមេរោគនៅលើម៉ាស៊ីនណាដែលស្ថិតក្នុងការសង្ស័យផងដែរ។
ប្រភព BleepingComputer ចុះផ្សាយថ្ងៃទី២៧ ខែឧសភា ឆ្នាំ២០២៦
