-
09/04/2020
-
99
-
804 bài viết
60 gói mã độc trên NPM nhắm vào lập trình viên để gửi dữ liệu về Discord
Một chiến dịch tấn công mới vừa được phát hiện trên hệ thống NPM (Node Package Manager) - nền tảng phổ biến dành cho các lập trình viên JavaScript. Theo báo cáo, 60 gói độc hại đã được tải lên NPM từ ngày 12/5/2025 với mục tiêu thu thập thông tin nhạy cảm từ máy tính nạn nhân và gửi về webhook Discord do hacker kiểm soát.
Những dữ liệu bị thu thập bao gồm:
Mặc dù chưa ghi nhận việc cài mã độc giai đoạn 2 hay leo thang đặc quyền, nhưng việc đánh cắp thông tin mạng và hệ thống có thể dẫn đến tấn công có chủ đích (APT) trong tương lai. Điều này cho thấy chiến thuật ngụy trang tinh vi của hacker đã phát huy hiệu quả.
Cụ thể, kẻ tấn công đã sử dụng kỹ thuật đặt tên tương tự các gói phổ biến hoặc mang tính "tin cậy" nhằm đánh lừa các lập trình viên. Một số tên gói điển hình bao gồm:
Những gói này được ngụy trang dưới dạng thư viện phổ biến như React, Vue.js, Vite, Node.js và Quill, sử dụng kỹ thuật typosquatting (đặt tên sai chính tả) để đánh lừa người dùng cài đặt nhầm. Mặc dù đã tồn tại trên NPM suốt 2 năm và đạt hơn 6.200 lượt tải, nhưng mã độc lại chỉ kích hoạt trong những ngày cụ thể được mã hóa cứng (hardcoded) khiến việc phát hiện trở nên cực kỳ khó khăn.
Đoạn script này được thiết kế để xóa các tệp liên quan đến Vue.js trong khoảng thời gian từ ngày 19 - 30 tháng 6 năm 2023
Đáng chú ý, kẻ đứng sau chiến dịch có tên tài khoản là "xuxingfeng" còn tung ra nhiều gói hợp pháp khác để tăng độ tin cậy và qua mặt các hệ thống giám sát.
Hiện tại, các payload độc hại không còn hoạt động do đã vượt qua mốc ngày kích hoạt. Tuy nhiên, việc gỡ bỏ các gói này vẫn là điều bắt buộc bởi kẻ tấn công hoàn toàn có thể cập nhật mã mới để kích hoạt lại chức năng phá hoại trong tương lai.
Theo Bleeping Computer
Những dữ liệu bị thu thập bao gồm:
- Tên máy (hostname)
- Địa chỉ IP nội bộ
- Thư mục người dùng (home directory)
- Thư mục hiện tại (working directory)
- Tên người dùng
- Máy chủ DNS hệ thống
Mặc dù chưa ghi nhận việc cài mã độc giai đoạn 2 hay leo thang đặc quyền, nhưng việc đánh cắp thông tin mạng và hệ thống có thể dẫn đến tấn công có chủ đích (APT) trong tương lai. Điều này cho thấy chiến thuật ngụy trang tinh vi của hacker đã phát huy hiệu quả.
Cụ thể, kẻ tấn công đã sử dụng kỹ thuật đặt tên tương tự các gói phổ biến hoặc mang tính "tin cậy" nhằm đánh lừa các lập trình viên. Một số tên gói điển hình bao gồm:
- flipper-plugins
- react-xterm2
- hermes-inspector-msggen
Chiến dịch khác nguy hiểm hơn: Mã độc phá hủy dữ liệu trên NPM
Bên cạnh chiến dịch thu thập dữ liệu, các chuyên gia bảo mật còn phát hiện thêm 8 gói NPM độc hại khác với mức độ nguy hiểm cao hơn có khả năng xóa tệp tin, làm hỏng dữ liệu và tắt hệ thống.Những gói này được ngụy trang dưới dạng thư viện phổ biến như React, Vue.js, Vite, Node.js và Quill, sử dụng kỹ thuật typosquatting (đặt tên sai chính tả) để đánh lừa người dùng cài đặt nhầm. Mặc dù đã tồn tại trên NPM suốt 2 năm và đạt hơn 6.200 lượt tải, nhưng mã độc lại chỉ kích hoạt trong những ngày cụ thể được mã hóa cứng (hardcoded) khiến việc phát hiện trở nên cực kỳ khó khăn.
Đoạn script này được thiết kế để xóa các tệp liên quan đến Vue.js trong khoảng thời gian từ ngày 19 - 30 tháng 6 năm 2023
Đáng chú ý, kẻ đứng sau chiến dịch có tên tài khoản là "xuxingfeng" còn tung ra nhiều gói hợp pháp khác để tăng độ tin cậy và qua mặt các hệ thống giám sát.
Hiện tại, các payload độc hại không còn hoạt động do đã vượt qua mốc ngày kích hoạt. Tuy nhiên, việc gỡ bỏ các gói này vẫn là điều bắt buộc bởi kẻ tấn công hoàn toàn có thể cập nhật mã mới để kích hoạt lại chức năng phá hoại trong tương lai.
Khuyến cáo
- Kiểm tra lại tất cả các gói NPM đã cài, đặc biệt nếu gần đây bạn sử dụng các package mới.
- Gỡ bỏ ngay các package nghi ngờ, kể cả khi chưa thấy dấu hiệu bất thường.
- Cập nhật hệ thống và bảo mật CI/CD pipelines để tránh bị tấn công trong tương lai.
Theo Bleeping Computer