- Một cuộc tấn công đang diễn ra hiện tải lên hàng trăm gói độc hại lên kho NPM (Node Package Manager) nhằm lây nhiễm thiết bị của các lập trình viên phụ thuộc vào các thư viện mã đó
- Tên của các gói độc hại này giống với các thư viện mã hợp pháp như Puppeteer, Bignum.js cùng nhiều thư viện tiền mã hóa khác
- Chiến dịch này vẫn còn hoạt động vào thời điểm bài viết được đăng và đã được công ty bảo mật Phylum phát hiện
Cần cảnh giác với các cuộc tấn công chuỗi cung ứng
- Những kẻ tạo ra mã độc đã phải tìm kiếm các phương thức mới để che giấu ý đồ và làm rối các máy chủ từ xa do chúng kiểm soát
- Đây là lời cảnh báo tiếp diễn cho thấy các cuộc tấn công chuỗi cung ứng vẫn đang diễn ra mạnh mẽ
- Các gói độc hại đã cài đặt sử dụng một cách mới để che giấu địa chỉ IP mà chúng kết nối tới nhằm nhận tải trọng mã độc giai đoạn hai
- Trong mã giai đoạn một hoàn toàn không xuất hiện địa chỉ IP. Thay vào đó, nó truy cập một hợp đồng thông minh Ethereum để lấy chuỗi ký tự (địa chỉ IP) gắn với một địa chỉ hợp đồng cụ thể trên Ethereum mainnet
- Địa chỉ IP được trả về trong gói mà Phylum phân tích là hxxp://193.233.201[.]21:3001
- Việc lưu dữ liệu trên blockchain Ethereum cho phép nhìn thấy các địa chỉ IP mà kẻ tấn công đã sử dụng trước đó
- Ethereum lưu giữ hồ sơ bất biến của mọi thay đổi giá trị từng xuất hiện
- Vì vậy có thể thấy toàn bộ các địa chỉ IP mà tác nhân đe dọa này đã sử dụng
- Các gói độc hại được cài đặt dưới dạng gói Vercel và chạy trong bộ nhớ
- Tải trọng được cấu hình để nạp lại sau mỗi lần khởi động lại và kết nối tới địa chỉ IP trong hợp đồng Ethereum
- Nó thực hiện nhiều yêu cầu để lấy thêm các tệp Javascript, sau đó gửi ngược thông tin hệ thống về cùng máy chủ xử lý các yêu cầu đó
- Thông tin này bao gồm GPU, CPU, dung lượng bộ nhớ của máy, tên người dùng và thông tin về phiên bản hệ điều hành
- Các cuộc tấn công lợi dụng lỗi gõ sai đang được sử dụng rộng rãi
- Cuộc tấn công này dựa vào typosquatting, tức dùng những tên rất giống gói hợp pháp nhưng chỉ khác vài ký tự
- Typosquatting đã được dùng trong 5 năm qua để lừa lập trình viên tải xuống các thư viện mã độc
- Lập trình viên nên luôn kiểm tra kỹ tên gói trước khi chạy gói đã tải về
8 bình luận
Nếu đang dùng smart contract thì có lẽ cũng có thể phản công để làm cạn gas của hacker nhỉ haha
Nói cho cùng thì cái trò coin chết tiệt đó mới là vấn đề.
Ước gì trong Nix store có sẵn công cụ dò malware, để còn thử tìm xem sao; mọi dev cứ chuyển hết sang nix đi. Phải đóng băng toàn bộ tài sản số lại để không ai đụng vào được. Với cả nhà nước cũng nên làm mấy hệ thống RAG AI rồi phân phối cho doanh nghiệp chứ, còn đợi đến bao giờ nữa, cố lên. Không biết bao giờ môi trường phát triển tệ hơn cả Đông Nam Á này mới chấm dứt đây.
Bạn làm ở công ty kiểu gì mà lại phải làm việc trong một môi trường phát triển còn tệ hơn cả Đông Nam Á vậy...
Ý bạn là nguyên nhân không phải do vấn đề của công ty, mà là do vấn đề mang tính chính sách cấp quốc gia, đúng không?
npm cứ thỉnh thoảng lại gặp vấn đề này, vậy các kho gói của những ngôn ngữ khác thì không có vấn đề như thế này sao?
Ví dụ, có phải do thiết lập mặc định của package manager là
allow-net=falsehoặcignore-scripts=truenên an toàn hơn, hay tình hình cũng tương tự thôi ..Chỉ là vì Npm được dùng nhiều nên thường xuyên lọt vào mắt thôi
Kho lưu trữ gói của các ngôn ngữ khác cũng đều như vậy cả.
Có lẽ các công cụ tự động tải và sử dụng thư viện từ xa như cargo, alire, maven v.v. đều đang bị phơi bày trước những mối đe dọa tương tự.