Mối Đe Dọa Mạng Nghiêm Trọng: Mã Độc fast-draft Tấn Công Developer

Một mối đe dọa mạng nghiêm trọng đã được phát hiện liên quan đến một tiện ích mở rộng trình chỉnh sửa mã phổ biến trên registry Open VSX. Tiện ích này, mang tên fast-draft, đã bị phát hiện chứa mã độc ẩn, âm thầm tải xuống và thực thi một trojan truy cập từ xa (RAT) cùng một trình đánh cắp thông tin (infostealer) đầy đủ trên máy của các nhà phát triển mà không có bất kỳ dấu hiệu cảnh báo nào.

Tiện ích fast-draft, thuộc tài khoản nhà phát hành KhangNghiem, đã tích lũy hơn 26.000 lượt tải xuống trước khi hoạt động độc hại được nhúng trong một số phiên bản cụ thể được đưa ra ánh sáng.

Phân tích Mã độc fast-draft và Cơ chế Tấn công

Cuộc tấn công mạng này diễn ra thông qua một mô hình lây nhiễm có chủ đích, trải rộng trên các phiên bản phát hành cụ thể của tiện ích. Các nhà phân tích của Aikido đã xác định được tiện ích bị xâm phạm này trong quá trình xem xét thủ công, chi tiết từng phiên bản của dòng phát hành fast-draft. (Tham khảo chi tiết tại Aikido Blog).

Chi tiết Các Phiên bản Bị Ảnh Hưởng

Các phiên bản 0.10.89, 0.10.105, 0.10.106, và 0.10.112 của tiện ích fast-draft đều chứa mã độc. Mã này thiết lập kết nối đến một kho lưu trữ GitHub do một tác nhân đe dọa có tên BlokTrooper kiểm soát.

Đáng chú ý, các phiên bản khác như 0.10.88, 0.10.111, và phiên bản mới nhất 0.10.135 không thể hiện hành vi độc hại tương tự. Điều này cho thấy tài khoản nhà phát hành có thể đã bị xâm phạm hoặc token phát hành đã bị đánh cắp, thay vì một nhà bảo trì cố tình cài cắm mã độc.

Mô hình xen kẽ giữa các phiên bản sạch và độc hại cho thấy tác nhân có quyền truy cập gián đoạn vào quy trình phát hành của nhà phát hành. Kịch bản này rất khó bị phát hiện bởi các công cụ quét tự động mà không có sự xem xét thủ công kỹ lưỡng. Đây là một mối đe dọa mạng đòi hỏi các biện pháp phòng ngừa phức tạp hơn.

Cơ chế Khai thác Ban đầu

Tiện ích độc hại đã tải xuống các script shell dành riêng cho nền tảng từ địa chỉ raw.githubusercontent[.]com/BlokTrooper/extension.

Sau đó, nó chuyển toàn bộ phản hồi trực tiếp vào một shell hệ thống, từ đó tải xuống và thực thi một payload mã độc giai đoạn hai đầy đủ trên máy nạn nhân. Đây là một phương thức tấn công supply chain nguy hiểm, lợi dụng sự tin cậy vào các công cụ phát triển phổ biến, tạo ra một mối đe dọa mạng đáng kể.

Các tiện ích trình chỉnh sửa thường chạy với quyền hệ thống rộng, khiến chúng trở thành mục tiêu hấp dẫn cho các loại tấn công mạng này, làm gia tăng mối đe dọa mạng tổng thể.

Tác động và Phạm vi Ảnh hưởng

Tác động của sự xâm phạm này rất rộng và nghiêm trọng. Bất kỳ nhà phát triển nào đã cài đặt một trong các phiên bản độc hại đều đã vô tình trao quyền kiểm soát hoàn toàn máy của họ cho kẻ tấn công. Với hơn 26.594 lượt tải xuống được ghi nhận trên registry Open VSX, tiềm năng phơi nhiễm trên diện rộng đối với các nhà phát triển mã nguồn mở và các nhóm phần mềm trên toàn thế giới là rất đáng kể, tạo ra một mối đe dọa mạng tiềm tàng.

Mô-đun Tấn công Giai đoạn Hai

Sau khi trình tải xuống shell thực thi, nó kéo về một kho lưu trữ ZIP, giải nén vào một thư mục tạm thời và khởi chạy bốn tiến trình Node.js riêng biệt. Mỗi tiến trình này xử lý một phần riêng của toàn bộ cuộc tấn công mạng, đồng thời gia tăng mức độ nghiêm trọng của mối đe dọa mạng đa chiều.

Điều khiển Từ xa và Giám sát

Mô-đun đầu tiên thiết lập kết nối ngược lại với máy chủ command-and-control (C2) tại 195[.]201[.]104[.]53 qua cổng 6931, sử dụng Socket.IO. Điều này cấp cho kẻ tấn công quyền kiểm soát trực tiếp đối với chuyển động chuột, nhập liệu bàn phím, chụp ảnh màn hình và đọc nội dung clipboard. Khả năng này biến mã độc thành một RAT hoàn chỉnh, cho phép kẻ tấn công thực hiện chiếm quyền điều khiển từ xa.

Đánh cắp Thông tin Trình duyệt và Ví Tiền điện tử

Mô-đun thứ hai quét các cấu hình trình duyệt trên Chrome, Edge, Brave và Opera trên các hệ điều hành Windows, macOS và Linux. Nó được thiết kế để đánh cắp mật khẩu đã lưu và dữ liệu web.

Ngoài ra, nó còn nhắm mục tiêu vào 25 tiện ích mở rộng ví tiền điện tử phổ biến, bao gồm MetaMask, Phantom, Coinbase Wallet và Trust Wallet. Dữ liệu thu thập được sau đó được tải lên cổng 6936 trên cùng máy chủ C2, dẫn đến nguy cơ rò rỉ dữ liệu nhạy cảm về tài chính.

Rò rỉ Dữ liệu Nhạy cảm và Mã Nguồn

Mô-đun thứ ba thực hiện quét đệ quy thư mục chính của người dùng để tìm kiếm các tài liệu, tệp môi trường, khóa riêng tư, lịch sử shell và mã nguồn.

Mã độc này có khả năng nhận biết và bỏ qua các thư mục không liên quan như .cursor, .claude và .windsurf. Điều này cho thấy kẻ tấn công đặc biệt nhắm vào các môi trường phát triển được hỗ trợ bởi AI có giá trị cao, nơi chứa các tài sản trí tuệ và thông tin độc quyền.

Giám sát Clipboard

Mô-đun thứ tư liên tục thăm dò clipboard mỗi vài giây. Nội dung bị bắt giữ, bao gồm các cụm từ hạt giống (seed phrases) của ví tiền điện tử, khóa API và mật khẩu, sẽ được gửi thẳng đến /api/service/makelog trên máy chủ C2. Đây là một cơ chế tinh vi để thu thập thông tin nhạy cảm theo thời gian thực, làm tăng thêm nguy cơ rò rỉ dữ liệu nghiêm trọng.

Phương pháp Phát hiện và Khuyến nghị Phòng ngừa

Để đối phó với mối đe dọa mạng này, các nhà phát triển và đội ngũ bảo mật cần thực hiện ngay các hành động kiểm tra và khắc phục. Việc phát hiện sớm và áp dụng các biện pháp bảo vệ là rất quan trọng để hạn chế thiệt hại.

IOCs (Indicators of Compromise)

Các chỉ số xâm nhập sau đây có thể giúp phát hiện và ngăn chặn hoạt động độc hại liên quan đến mã độc fast-draft:

• Địa chỉ IP C2: 195[.]201[.]104[.]53
• Cổng C2: 6931 (Socket.IO, điều khiển từ xa), 6936 (tải dữ liệu đánh cắp), 6939 (có thể liên quan đến các hoạt động khác)
• Nguồn tải script shell: raw.githubusercontent[.]com/BlokTrooper/extension
• Tên tiện ích mở rộng độc hại: fast-draft (publisher KhangNghiem)
• Các phiên bản độc hại: 0.10.89, 0.10.105, 0.10.106, 0.10.112
• Điểm cuối API C2: /api/service/makelog (Clipboard monitoring)

Biện pháp Khắc phục và Bảo vệ

Các nhà phát triển nên kiểm tra ngay lập tức bất kỳ phiên bản nào của fast-draft đã được cài đặt, đặc biệt là các phiên bản trùng khớp với 0.10.89, 0.10.105, 0.10.106, hoặc 0.10.112 và gỡ bỏ chúng ngay lập tức. Đây là bước đầu tiên và quan trọng nhất để loại bỏ mối đe dọa mạng này.

Tất cả các thông tin đăng nhập đã lưu, cụm từ hạt giống ví tiền điện tử và khóa API trên các máy bị ảnh hưởng cần được thay đổi (rotate) kịp thời. Hành động này là cần thiết để vô hiệu hóa bất kỳ thông tin nào đã bị đánh cắp.

Các đội ngũ mạng nên chặn và giám sát tất cả lưu lượng truy cập đi đến địa chỉ 195[.]201[.]104[.]53 trên các cổng 6931, 6936 và 6939. Đồng thời, cần đánh dấu bất kỳ yêu cầu nào đến raw.githubusercontent[.]com/BlokTrooper trong nhật ký mạng để phát hiện và ngăn chặn các nỗ lực xâm nhập trong tương lai.

Việc thực hiện kiểm tra bảo mật định kỳ, bao gồm cả việc xem xét thủ công các tiện ích và thư viện được sử dụng, là cực kỳ quan trọng để phòng ngừa các tấn công mạng kiểu supply chain tinh vi như thế này và giảm thiểu mối đe dọa mạng tiềm ẩn.