Tin tức bảo mật: Npm độc hại nhắm Axios nguy hiểm

Tin tức bảo mật về các gói npm độc hại mới cho thấy một chiến dịch typosquatting đang nhắm vào người dùng Axios. Bốn package chalk-template, @deadcode09284814/axios-util, axios-utils và color-style-utils đều bị phát hiện trong vòng 24 giờ gần đây, với tổng cộng khoảng 2.678 lượt tải mỗi tuần trước khi bị gắn cờ. Tất cả phiên bản của các package này đều bị xem là độc hại.

Nội dung

Chuỗi tấn công trong chiến dịch npm độc hại

Biến thể chalk-template và dấu hiệu Shai-Hulud

Lỗ hổng chuỗi cung ứng và rủi ro bảo mật

Cơ chế đánh cắp dữ liệu

Hành vi botnet DDoS từ package độc hại

IOC liên quan đến chiến dịch

Phát hiện xâm nhập và kiểm tra hệ thống

Tham chiếu kỹ thuật liên quan

Phạm vi ảnh hưởng hệ thống

Khuyến nghị xử lý

Chuỗi tấn công trong chiến dịch npm độc hại

Chiến dịch này được cho là do một tác nhân đe dọa duy nhất triển khai nhiều biến thể infostealer đồng thời. Mục tiêu là người dùng Axios thông qua kiểu đặt tên gần giống package hợp lệ để kích hoạt cài đặt nhầm. Đây là một dạng mối đe dọa an ninh mạng thuộc nhóm supply chain attack, trong đó payload được phát tán trực tiếp qua npm.

Phân tích cho thấy mỗi package phục vụ một mục tiêu khác nhau. Một biến thể tập trung vào đánh cắp thông tin đăng nhập, biến thể khác thu thập dữ liệu ví tiền điện tử, biến thể khác lấy biến môi trường, và một biến thể âm thầm biến máy nhiễm thành DDoS botnet.

Biến thể chalk-template và dấu hiệu Shai-Hulud

Phát hiện đáng chú ý nhất là chalk-tempalte, một bản sao gần như giống hệt của Shai-Hulud infostealer. Đây là mã độc nguồn mở mà mã nguồn từng bị rò rỉ công khai trên GitHub chỉ một tuần trước đó. Mã bị sao chép với rất ít chỉnh sửa, trong đó tác nhân đe dọa đã nhúng địa chỉ C2 server riêng là 87e0bbc636999b[.]lhr[.]life cùng private key, sau đó tải package đã hoàn thiện trực tiếp lên npm.

Việc không dùng obfuscation, khác với các lần triển khai Shai-Hulud ban đầu, cho thấy đây là một biến thể sao chép từ bên ngoài chứ không phải nguồn gốc ban đầu. Để đối chiếu thêm, có thể xem bài phân tích của OX Security tại: https://www.ox.security/blog/new-actors-deploy-shai-hulud-clones-teampcp-copycats-are-here/

Lỗ hổng chuỗi cung ứng và rủi ro bảo mật

Với lỗ hổng CVE theo nghĩa vận hành chuỗi cung ứng phần mềm, điểm nguy hiểm nằm ở việc package độc hại được phát tán dưới dạng thư viện hợp lệ. Khi nhà phát triển cài đặt nhầm, mã độc sẽ chạy trong môi trường build hoặc máy làm việc, làm tăng rủi ro bảo mật cho SSH keys, cloud credentials, wallet và biến môi trường.

Điểm cần lưu ý là chiến dịch này không dựa vào một zero-day vulnerability trong phần mềm đích, mà khai thác hành vi tin cậy vào registry package và sai khác chính tả trong tên gói. Điều này khiến việc phát hiện xâm nhập trở nên khó hơn nếu hệ thống giám sát không theo dõi chặt các tiến trình npm và truy cập bất thường tới GitHub hoặc C2.

Cơ chế đánh cắp dữ liệu

Theo mô tả từ dữ liệu gốc, các máy nhiễm sẽ tải thông tin bị đánh cắp lên một repository GitHub mới, mô phỏng đúng hành vi của Shai-Hulud gốc. Dữ liệu bị lộ có thể gồm:

SSH keys và khóa truy cập dùng cho máy chủ.
Cloud credentials phục vụ hạ tầng đám mây.
Cryptocurrency wallets và dữ liệu liên quan ví.
Environment variables chứa bí mật ứng dụng, token hoặc khóa API.

Cơ chế này tạo ra nguy cơ đánh cắp dữ liệu và xâm nhập trái phép kéo dài, đặc biệt khi bí mật bị dùng lại trên nhiều hệ thống khác nhau.

Hành vi botnet DDoS từ package độc hại

Trong số các biến thể, một package âm thầm chuyển máy bị nhiễm thành botnet DDoS. Điều này cho thấy chiến dịch không chỉ dừng ở mã độc ransomware hay infostealer, mà đã mở rộng sang khả năng huy động tài nguyên thiết bị để tham gia tấn công mạng. Từ góc nhìn threat intelligence, đây là dấu hiệu cho thấy payload đang được phân hóa theo mục đích khai thác khác nhau trong cùng một hạ tầng phát tán.

Việc một tài khoản npm duy nhất phát hành nhiều package với mục tiêu khác nhau cho thấy mô hình tấn công mạng đã được tự động hóa đáng kể. Mỗi biến thể thu thập một loại dữ liệu riêng, từ đó tối đa hóa giá trị khai thác sau khi xâm nhập.

IOC liên quan đến chiến dịch

Package độc hại: chalk-template
Package độc hại: @deadcode09284814/axios-util
Package độc hại: axios-utils
Package độc hại: color-style-utils
Package sai chính tả: chalk-tempalte
C2 server: 87e0bbc636999b[.]lhr[.]life
Kênh rò rỉ dữ liệu: repository GitHub mới do máy nhiễm đẩy dữ liệu lên

Phát hiện xâm nhập và kiểm tra hệ thống

Người đã cài bất kỳ phiên bản nào của các package trên cần xử lý ngay. Vì chiến dịch này có thể dẫn đến hệ thống bị xâm nhập, cần rà soát toàn bộ môi trường build, máy phát triển và pipeline CI/CD để xác định credential nào đã bị lộ.

Kiểm tra lịch sử cài đặt npm và danh sách package phụ thuộc có thể giúp khoanh vùng nguồn phát tán. Với các hệ thống có log, nên tìm dấu hiệu truy cập bất thường tới GitHub, hành vi xuất dữ liệu ra ngoài, hoặc các tiến trình node/npm chạy ngoài dự kiến. Đây là bước quan trọng trong phát hiện tấn công và giảm nguy cơ tái sử dụng thông tin bị đánh cắp.

Tham chiếu kỹ thuật liên quan

Thông tin về gói npm và cách đánh giá mức độ tin cậy có thể đối chiếu thêm trên NVD: https://nvd.nist.gov/. Dù nội dung hiện tại không gắn với một CVE nghiêm trọng cụ thể, việc theo dõi các cảnh báo liên quan tới supply chain vẫn là yêu cầu bắt buộc để bảo vệ an toàn thông tin trong môi trường phát triển phần mềm.

Phạm vi ảnh hưởng hệ thống

Ảnh hưởng trực tiếp của chiến dịch gồm mất kiểm soát tài khoản SSH, lộ khóa truy cập cloud, lộ token, rò rỉ dữ liệu nhạy cảm và khả năng bị kéo vào botnet DDoS. Trong môi trường doanh nghiệp, rủi ro còn mở rộng sang rủi ro an toàn thông tin ở tầng build, vì chỉ một package độc hại trong dependency tree cũng có thể dẫn tới hệ thống bị tấn công.

Do các package được phát hành dưới dạng hợp lệ trên npm, việc phát hiện dựa hoàn toàn vào tên gói là không đủ. Cần kết hợp kiểm tra khóa ký, provenance của package, và các chỉ báo hành vi như kết nối tới C2, ghi file bất thường, hoặc tải dữ liệu lên repo ngoài luồng.

Khuyến nghị xử lý

Gỡ bỏ ngay các package độc hại khỏi dự án và lockfile.
Thu hồi, xoay vòng toàn bộ SSH keys, cloud credentials, token và wallet-related secrets nếu có khả năng bị lộ.
Rà soát lịch sử CI/CD và máy phát triển để tìm dấu hiệu rò rỉ dữ liệu.
Kiểm tra outbound connection tới 87e0bbc636999b[.]lhr[.]life và các repository GitHub liên quan.
Áp dụng kiểm soát supply chain cho npm dependency, bao gồm review package name gần giống và nguồn phát hành.

Trong bối cảnh tin bảo mật mới nhất về npm ngày càng xuất hiện dày hơn, các đội phát triển cần coi việc kiểm tra dependency là một phần bắt buộc của quy trình an toàn dữ liệu và an ninh mạng.