Cuộc Tấn Công Hack Quy Mô Lớn Nhắm Vào Mã JavaScript
Một cuộc tấn công hack quy mô lớn nhắm vào mã JavaScript với phần mềm độc hại đã gây ra sự hoảng loạn vào đầu tuần này. Tuy nhiên, theo dữ liệu từ Arkham Intelligence, số tiền mà cuộc tấn công này đánh cắp chỉ là 1.043 USD trong tiền điện tử.
Phân Tích Cuộc Tấn Công
Các nhà nghiên cứu an ninh mạng tại Wiz đã công bố phân tích về cuộc tấn công chuỗi cung ứng “rộng rãi” này trong một bài đăng trên blog. Họ cho biết những kẻ tấn công đã sử dụng kỹ thuật xã hội để chiếm quyền kiểm soát một tài khoản GitHub thuộc về Qix (Josh Junon), một nhà phát triển các gói mã phổ biến cho JavaScript.
Những kẻ hack đã công bố các bản cập nhật cho một số gói này, thêm mã độc hại nhằm kích hoạt các API và giao diện ví tiền điện tử, cũng như quét các giao dịch tiền điện tử để thay đổi địa chỉ người nhận và các dữ liệu giao dịch khác.
Đáng lo ngại, các nhà nghiên cứu của Wiz kết luận rằng 10% môi trường đám mây chứa một số trường hợp mã độc hại, và 99% tất cả các môi trường đám mây sử dụng một số gói bị nhắm đến bởi những kẻ hack.
Quy Mô Tấn Công và Thiệt Hại
Mặc dù quy mô tiềm năng của cuộc tấn công, dữ liệu mới nhất từ Arkham cho thấy rằng ví của kẻ tấn công cho đến nay đã nhận được số tiền tương đối khiêm tốn là 1.043 USD. Số tiền này đã tăng dần trong vài ngày qua, chủ yếu từ các giao dịch chuyển nhượng token ERC-20, với các giao dịch cá nhân có giá trị từ 1,29 USD đến 436 USD.
Cuộc tấn công tương tự cũng đã mở rộng ra ngoài các gói npm của Qix, với một bản cập nhật hôm qua từ JFrog Security tiết lộ rằng hệ thống quản lý cơ sở dữ liệu DuckDB SQL đã bị xâm phạm. Bản cập nhật này cũng cho thấy rằng cuộc tấn công “dường như là cuộc xâm phạm npm lớn nhất trong lịch sử,” làm nổi bật quy mô và phạm vi đáng lo ngại của sự việc.
Tăng Cường Bảo Mật
Các cuộc tấn công chuỗi cung ứng phần mềm như vậy đang trở nên phổ biến hơn, các nhà nghiên cứu của Wiz Research cho biết với Decrypt. “Các kẻ tấn công đã nhận ra rằng việc xâm phạm một gói hoặc phụ thuộc duy nhất có thể cho phép họ tiếp cận hàng ngàn môi trường cùng một lúc,” họ nói.
Thực tế, vài tháng qua đã chứng kiến nhiều sự cố tương tự, bao gồm việc chèn các yêu cầu kéo độc hại vào phần mở rộng ETHcode của Ethereum vào tháng 7, đã thu hút hơn 6.000 lượt tải xuống.
“Hệ sinh thái npm đặc biệt đã trở thành mục tiêu thường xuyên vì sự phổ biến của nó và cách mà các nhà phát triển phụ thuộc vào các phụ thuộc trung gian,” Wiz Research cho biết.
Theo Wiz, sự cố mới nhất củng cố nhu cầu bảo vệ quy trình phát triển, với các tổ chức được khuyến khích duy trì khả năng theo dõi toàn bộ chuỗi cung ứng phần mềm, đồng thời theo dõi hành vi gói bất thường.
Điều này dường như là những gì nhiều tổ chức và thực thể đã làm trong trường hợp của cuộc tấn công Qix, đã được phát hiện trong vòng hai giờ sau khi công bố. Phát hiện nhanh chóng là một trong những lý do chính khiến thiệt hại tài chính của cuộc tấn công vẫn còn hạn chế.
Tuy nhiên, Wiz Research cho rằng còn có những yếu tố khác ảnh hưởng. “Tải trọng đã được thiết kế một cách hẹp để nhắm mục tiêu người dùng với các điều kiện cụ thể, điều này có thể đã giảm khả năng tiếp cận của nó,” họ nói.
Các nhà phát triển cũng ngày càng nhận thức rõ hơn về những mối đe dọa như vậy, các nhà nghiên cứu của Wiz cho biết, với nhiều người đã có các biện pháp bảo vệ để phát hiện hoạt động đáng ngờ trước khi nó dẫn đến thiệt hại nghiêm trọng.
“Luôn có khả năng chúng ta sẽ thấy các báo cáo chậm trễ về tác động, nhưng dựa trên những gì chúng ta biết hôm nay,” họ nói, “các nỗ lực phát hiện và gỡ bỏ nhanh chóng dường như đã hạn chế thành công của kẻ tấn công.
