Nghiêm trọng: Tấn công Chuỗi Cung Ứng Phần Mềm qua Social Engineering

Một chiến dịch social engineering có tính phối hợp cao đang tích cực nhắm mục tiêu vào các nhà phát triển mã nguồn mở hàng đầu trong hệ sinh thái Node.js và npm. Sau sự cố gần đây với gói Axios phổ biến, vốn có hơn 100 triệu lượt tải xuống hàng tuần, nhiều nhà duy trì phần mềm có tầm ảnh hưởng lớn đã báo cáo các cuộc tấn công tương tự. Các nhà nghiên cứu bảo mật tin rằng đây là một sự dịch chuyển chiến lược của các nhóm đe dọa tiên tiến, nhằm mục đích bí mật đầu độc tấn công chuỗi cung ứng phần mềm toàn cầu.

Mục Tiêu và Phạm Vi Tác Động của Chiến dịch

Kẻ tấn công đang săn lùng các nhà phát triển duy trì các công cụ JavaScript nền tảng. Các cá nhân bị nhắm mục tiêu bao gồm những người tạo và duy trì các gói được sử dụng rộng rãi như WebTorrent, Lodash, Fastify và dotenv. Tổng cộng, những công cụ thiết yếu này được các công ty trên toàn thế giới tải xuống hàng tỷ lần mỗi tháng.

Các kỹ sư của Socket, bao gồm CEO Feross Aboukhadijeh, và Chủ tịch Ủy ban Chỉ đạo Kỹ thuật Node.js Matteo Collina, đã xác nhận họ là mục tiêu gần đây. Collina lưu ý rằng kẻ tấn công đã giả danh một công ty hợp pháp để tiếp cận.

Aboukhadijeh tuyên bố rằng các cuộc tấn công có độ tinh vi cao này chống lại các nhà duy trì cá nhân đang trở thành điều bình thường mới và đang tăng tốc nhanh chóng trên toàn hệ sinh thái.

Kỹ Thuật Social Engineering Chi Tiết

Không giống như các email lừa đảo (phishing) tiêu chuẩn, dễ phát hiện, chiến dịch này mất nhiều tuần để thực hiện. Nhà nghiên cứu bảo mật Tay liên kết các cuộc tấn công này với một nhóm đe dọa được biết đến với tên UNC1069. Theo phân tích của cô, những kẻ tấn công cực kỳ kiên nhẫn và có chủ đích trong cách tiếp cận các nhà phát triển mã nguồn mở. Xem thêm chi tiết tại Socket Blog.

Xây Dựng Lòng Tin và Giả Mạo

• Kẻ tấn công tiếp cận qua các nền tảng chuyên nghiệp như LinkedIn hoặc Slack.
• Sử dụng các nhân vật giả mạo từ các công ty bị giả mạo như “Openfort”.
• Các nhà phát triển như Pelle Wessman và Jean Burellier báo cáo được mời vào các kênh Slack riêng tư và bị thúc đẩy tham gia phỏng vấn podcast.
• Kẻ tấn công xây dựng lòng tin theo thời gian, lên lịch và thậm chí dời lịch các cuộc gọi để tỏ ra hoàn toàn bình thường và không gây nghi ngờ.

Cơ Chế Lây Nhiễm Mã Độc

Bẫy cuối cùng được giăng trong cuộc gọi video đã lên lịch. Kẻ tấn công gửi một liên kết đến một nền tảng họp giả mạo được xây dựng để trông giống hệt Microsoft Teams hoặc Streamyard.

Khi nạn nhân tham gia, trang web giả vờ có lỗi âm thanh. Để “khắc phục” sự cố, trang web thúc giục nhà phát triển tải xuống một ứng dụng hoặc chạy một lệnh đơn giản trong terminal của họ. Hành động này kích hoạt cuộc tấn công mạng thực sự.

Kích Hoạt Mã Độc RAT

Nếu nhà phát triển mắc bẫy, bản tải xuống ngay lập tức cài đặt một mã độc RAT (Remote Access Trojan) ẩn. Phần mềm độc hại nguy hiểm này âm thầm thu thập dữ liệu nhạy cảm từ máy tính của nạn nhân.

Nó đánh cắp cookie trình duyệt, thông tin đăng nhập đám mây, chuỗi khóa mật khẩu và các token nhà phát triển đang hoạt động. Sau đó, mã độc liên hệ với kẻ tấn công mỗi sáu mươi giây để nhận hướng dẫn mới.

Khả Năng của Mã Độc RAT và Hậu Quả

Vì mã độc RAT này đánh cắp dữ liệu phiên hoạt động, xác thực hai yếu tố (2FA) tiêu chuẩn không cung cấp khả năng phòng thủ thực sự. Kẻ tấn công bỏ qua hoàn toàn màn hình đăng nhập. Điều này mang lại cho chúng quyền kiểm soát hoàn toàn ngay lập tức để phát hành mã trực tiếp lên registry npm.

Ngay cả các quy trình vệ sinh xuất bản nâng cao cũng không thể ngăn chặn một máy bị xâm nhập. Đây là một rủi ro bảo mật nghiêm trọng, làm suy yếu các biện pháp bảo vệ thông thường và dẫn đến khả năng chiếm quyền điều khiển tài nguyên quan trọng.

Chuyển Đổi Mục Tiêu và Mục Đích Cuối Cùng

Trong lịch sử, nhóm hacker cụ thể này đã nhắm mục tiêu vào những người sáng lập tiền điện tử để đánh cắp tiền kỹ thuật số. Hiện tại, họ đã chuyển hướng sang phần mềm mã nguồn mở. Thay vì tấn công từng mục tiêu một, việc chiếm quyền điều khiển một gói npm phổ biến cho phép họ tiếp cận hàng triệu người dùng cùng một lúc thông qua các bản cập nhật tự động. Đây là một ví dụ điển hình của chiến thuật tấn công chuỗi cung ứng phần mềm.

Khuyến Nghị và Nâng Cao Nhận Thức Cộng Đồng

Các chuyên gia an ninh mạng đang kêu gọi cộng đồng mã nguồn mở luôn cảnh giác và hỗ trợ lẫn nhau mà không đổ lỗi cho nạn nhân. Các cuộc tấn công có tính thuyết phục cao và bất kỳ ai cũng có thể bị lừa vào một ngày bận rộn. Khi các mối đe dọa tiên tiến này phát triển, sự an toàn của các ứng dụng hiện đại phụ thuộc rất nhiều vào việc bảo vệ các nhà phát triển xây dựng mã nền tảng của chúng ta.

Để biết thêm thông tin về các gói npm độc hại, bạn có thể tham khảo các gói npm độc hại cung cấp PylaNGhost RAT. Việc tăng cường an ninh mạng cho các nhà phát triển là trọng tâm để bảo vệ toàn bộ chuỗi cung ứng phần mềm.