Báo cáo về cuộc tấn công mạng từ Triều Tiên
Một công ty an ninh mạng của Mỹ cho biết các tin tặc Triều Tiên đã biến một trong những thư viện phần mềm phổ biến nhất thế giới thành một hệ thống phân phối phần mềm độc hại. Trong một báo cáo tuần trước, các nhà nghiên cứu tại Socket, một công ty bảo mật chuỗi cung ứng, cho biết họ đã phát hiện hơn 300 gói mã độc được tải lên kho npm, nơi mà hàng triệu nhà phát triển sử dụng để chia sẻ và cài đặt phần mềm JavaScript.
Chiến dịch “Cuộc phỏng vấn lây nhiễm” và các mối đe dọa
Những gói này – các đoạn mã tái sử dụng nhỏ được áp dụng trong mọi thứ từ trang web đến ứng dụng tiền điện tử – được thiết kế để trông vô hại. Tuy nhiên, khi được tải xuống, chúng cài đặt phần mềm độc hại có khả năng đánh cắp mật khẩu, dữ liệu trình duyệt và khóa ví tiền điện tử. Socket cho biết chiến dịch này, mà họ gọi là “Cuộc phỏng vấn lây nhiễm”, là một phần của hoạt động tinh vi do các tin tặc được nhà nước Triều Tiên tài trợ điều hành, những người giả làm nhà tuyển dụng công nghệ để nhắm vào các nhà phát triển làm việc trong lĩnh vực blockchain, Web3 và các ngành liên quan.
Tầm quan trọng của npm và các cuộc tấn công chuỗi cung ứng
Tại sao điều này quan trọng: npm về cơ bản là xương sống của web hiện đại. Việc xâm phạm nó cho phép kẻ tấn công đưa mã độc vào vô số ứng dụng hạ nguồn. Các chuyên gia bảo mật đã cảnh báo trong nhiều năm rằng các cuộc tấn công “chuỗi cung ứng phần mềm” như vậy là một trong những mối đe dọa nguy hiểm nhất trong không gian mạng, vì chúng lây lan một cách vô hình thông qua các bản cập nhật và phụ thuộc hợp pháp.
Phương thức tấn công và các biện pháp phòng ngừa
Các nhà nghiên cứu của Socket đã truy tìm chiến dịch này thông qua một cụm tên gói giống nhau – các phiên bản sai chính tả của các thư viện phổ biến như express, dotenv và hardhat – và thông qua các mẫu mã liên quan đến các gia đình phần mềm độc hại Triều Tiên đã được xác định trước đó, được biết đến với tên gọi BeaverTail và InvisibleFerret. Các kẻ tấn công đã sử dụng các tập lệnh “loader” mã hóa để giải mã và thực thi các tải trọng ẩn trực tiếp trong bộ nhớ, để lại rất ít dấu vết trên đĩa.
Công ty cho biết khoảng 50.000 lượt tải xuống các gói độc hại đã xảy ra trước khi nhiều gói bị gỡ bỏ, mặc dù một số vẫn còn trực tuyến.
Các tin tặc cũng đã sử dụng tài khoản nhà tuyển dụng giả trên LinkedIn, một chiến thuật nhất quán với các chiến dịch gián điệp mạng của DPRK trước đó được tài liệu hóa bởi Cơ quan An ninh mạng và An ninh cơ sở hạ tầng của Mỹ (CISA) và đã được báo cáo trước đó trên Decrypt.
Kết luận và khuyến nghị
Mặc dù những phát hiện của Socket phù hợp với các báo cáo từ các nhóm bảo mật khác và các cơ quan chính phủ liên kết Triều Tiên với các vụ trộm tiền điện tử tổng cộng hàng tỷ đô la, việc xác minh độc lập từng chi tiết – chẳng hạn như số lượng chính xác các gói bị xâm phạm – vẫn đang chờ xử lý. Tuy nhiên, các bằng chứng kỹ thuật và các mẫu được mô tả là nhất quán với các sự cố trước đó được quy cho Bình Nhưỡng.
Chủ sở hữu của npm, GitHub, đã cho biết họ gỡ bỏ các gói độc hại ngay khi phát hiện và đang cải thiện yêu cầu xác minh tài khoản. Tuy nhiên, các nhà nghiên cứu cho biết, mẫu hình này giống như trò chơi whack-a-mole: gỡ bỏ một bộ gói độc hại, và hàng trăm gói khác sẽ nhanh chóng thay thế.
Đối với các nhà phát triển và các công ty khởi nghiệp tiền điện tử, sự kiện này nhấn mạnh mức độ dễ bị tổn thương của chuỗi cung ứng phần mềm. Các nhà nghiên cứu bảo mật khuyến khích các nhóm coi mỗi lệnh “npm install” như một lệnh thực thi mã tiềm năng, quét các phụ thuộc trước khi hợp nhất chúng vào các dự án và sử dụng các công cụ kiểm tra tự động để phát hiện các gói bị can thiệp. Sức mạnh của hệ sinh thái mã nguồn mở – sự cởi mở của nó – vẫn là điểm yếu lớn nhất khi các đối thủ quyết định biến nó thành vũ khí.
