Sự cùng tồn tại của tính chuyên nghiệp và nghiệp dư: Việc các kẻ tấn công dành thời gian dài để xây dựng danh tính đáng tin cậy và trở thành maintainer của các gói quan trọng, có nhiều người tham gia vào các cuộc tấn công thao túng xã hội, che giấu danh tính thật và nguồn gốc của cuộc tấn công, cùng với mức độ tinh vi và các kỹ thuật làm rối được sử dụng đều cho thấy tính chuyên nghiệp. Tuy nhiên, việc lỗi và suy giảm hiệu năng xuất hiện trong phiên bản production lại phần nào mang tính nghiệp dư.
Bị phát hiện do suy giảm hiệu năng: Dù cuộc tấn công rất tinh vi, nó vẫn bị phát hiện vì sự suy giảm hiệu năng quá rõ rệt. Điều này gợi nhớ đến câu nói rằng có vô số cách để phạm tội rồi bị bắt, và nếu nghĩ ra được chỉ một nửa trong số đó thì đã là thiên tài.
Phân tích backdoor bị làm rối: Cần có phân tích về chính phần làm rối của backdoor. Đã dùng Ghidra để phân tích binary, nhưng vì không quen với cơ chế ifunc dùng để chặn thực thi nên đã để người khác tiếp tục phân tích. Vì backdoor được cung cấp dưới dạng binary đã mã hóa, nên có suy đoán rằng một phần mã cũng đã được mã hóa.
Cung cấp liên kết thay thế: Cung cấp liên kết nitter.poast.org như một lựa chọn thay thế cho theaderapp.com.
Tầm quan trọng của việc phát hiện: Thật may là backdoor đã được phát hiện trước khi lan rộng. Việc mọi bên đều có thể truy cập còn tệ hơn nhiều so với chỉ một bên sở hữu RCE (thực thi mã từ xa).
Thiếu thảo luận về kẻ tấn công: Dù chưa theo dõi vụ việc này quá sát, việc gần như không có thảo luận nào về kẻ tấn công vẫn là điều khá lạ.
Lo ngại về chiến lược dài hạn: Cũng như các kẻ tấn công đã dành thời gian xây dựng "hạ tầng" để tạo ra backdoor, có lẽ chúng đã định chơi một ván cờ dài hạn ngay cả sau khi cuộc tấn công được triển khai ngoài thực tế. Có người tự hỏi liệu ván cờ đó có còn đang tiếp diễn hay không.
Yêu cầu giải thích về kiểm thử hiệu năng: Có người hỏi liệu có bài giải thích hoặc tài liệu nhập môn tốt nào về bài kiểm thử hiệu năng đã dùng để phát hiện backdoor này không, vì họ muốn học cách đo hiệu năng.
Khen ngợi tác giả gốc: Dù chưa ai nhắc đến, vẫn muốn dành lời khen lớn cho tác giả gốc của bài viết này. Đây là một công trình cực kỳ ấn tượng.
1 bình luận
Ý kiến Hacker News
ifuncdùng để chặn thực thi nên đã để người khác tiếp tục phân tích. Vì backdoor được cung cấp dưới dạng binary đã mã hóa, nên có suy đoán rằng một phần mã cũng đã được mã hóa.