WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
141
2.025 bài viết
Chiến dịch supply chain mới trên npm phát tán mã độc qua jscrambler
Một cuộc tấn công chuỗi cung ứng mới vừa được phát hiện trên hệ sinh thái npm khi tin tặc lợi dụng quyền phát hành của gói jscrambler để phát tán mã độc nhắm vào các nhà phát triển phần mềm. Đây là công cụ bảo vệ và làm rối mã JavaScript khá phổ biến với hơn 15.800 lượt tải mỗi tuần, khiến phạm vi ảnh hưởng tiềm tàng của sự cố trở nên đáng lo ngại.
jscrambler.png

Theo nhóm nghiên cứu Socket, phiên bản độc hại đầu tiên mang số hiệu 8.14.0 xuất hiện trên npm vào ngày 11/7 và được phát hiện chỉ sau sáu phút. Điều tra cho thấy kẻ tấn công đã chiếm được thông tin xác thực dùng để phát hành gói npm, từ đó tải lên hàng loạt phiên bản trái phép gồm 8.14.0, 8.16.0, 8.17.0, 8.18.0 và 8.20.0. Sau khi xác nhận vụ việc, Jscrambler đã thu hồi quyền phát hành bị lạm dụng, xoay vòng thông tin xác thực và phát hành phiên bản sạch 8.22.0.

Điểm đáng chú ý là các phiên bản đầu tiên không chỉ đơn thuần chứa mã độc mà còn được thiết kế để kích hoạt ngay từ quá trình cài đặt. Tin tặc đã bí mật bổ sung một preinstall script vào gói phần mềm, khiến mã độc tự động thực thi khi người dùng chạy lệnh npm install. Điều này đồng nghĩa nạn nhân không cần import thư viện hay sử dụng bất kỳ chức năng nào của jscrambler nhưng vẫn có thể bị lây nhiễm. Phân tích kỹ thuật cho thấy đoạn mã độc sẽ đọc dữ liệu từ một tệp được ngụy trang bên trong gói cài đặt, sau đó lựa chọn payload phù hợp với hệ điều hành của nạn nhân và âm thầm khởi chạy trong nền.

Để mở rộng khả năng né tránh phát hiện, từ phiên bản 8.18.0, kẻ tấn công tiếp tục thay đổi chiến thuật bằng cách loại bỏ preinstall script và nhúng trực tiếp trình tải mã độc vào các tệp JavaScript chính của thư viện. Với cách tiếp cận này, mã độc chỉ được kích hoạt khi ứng dụng import jscrambler hoặc khi công cụ dòng lệnh của thư viện được thực thi, qua đó vượt qua nhiều cơ chế kiểm tra vốn chỉ tập trung vào các npm lifecycle script. Các nhà nghiên cứu xác định gói độc hại chứa ba biến thể malware khác nhau dành cho Linux, Windows và macOS, đều được phát triển bằng ngôn ngữ Rust.

Mục tiêu của chiến dịch không chỉ dừng ở việc thu thập thông tin từ máy tính cá nhân của lập trình viên. Theo Socket, malware được thiết kế để săn tìm những dữ liệu có giá trị cao như thông tin đăng nhập trình duyệt, ví tiền điện tử, phiên làm việc của Discord, Slack, Telegram và Steam, cùng nhiều loại token truy cập khác. Đặc biệt, các nhà nghiên cứu còn phát hiện mã độc chủ động tìm kiếm tệp cấu hình của các công cụ AI hỗ trợ lập trình phổ biến như Claude Desktop, Cursor, Windsurf, VS Code, Zed và MCP Server. Đây là những nơi thường lưu trữ API key hoặc thông tin kết nối có thể giúp kẻ tấn công mở rộng quyền truy cập sang các hệ thống khác.

Không dừng lại ở môi trường phát triển, malware còn cho thấy dấu hiệu nhắm tới hạ tầng đám mây của doanh nghiệp. Mã nguồn chứa nhiều tham chiếu tới các dịch vụ của AWS, Google Cloud và Microsoft Azure, đồng thời tìm cách truy cập endpoint metadata, hệ thống quản lý bí mật và các API Kubernetes. Điều này khiến nguy cơ không chỉ giới hạn ở một máy trạm bị nhiễm mà còn có thể lan sang các máy chủ build, hệ thống CI/CD hoặc thậm chí môi trường sản xuất nếu thông tin xác thực bị đánh cắp.

Các chuyên gia cảnh báo đây là kịch bản đặc biệt nguy hiểm đối với các tổ chức phát triển phần mềm, bởi môi trường CI/CD thường lưu trữ mã nguồn, khóa ký số, token triển khai và nhiều tài sản quan trọng khác. Để giảm nguy cơ bị khai thác, doanh nghiệp cần ngay lập tức rà soát xem hệ thống có sử dụng các phiên bản jscrambler bị ảnh hưởng hay không, nâng cấp lên phiên bản 8.22.0, kiểm tra log cài đặt npm cũng như hoạt động của pipeline CI/CD trong thời gian xảy ra sự cố. Nếu phát hiện có dấu hiệu xâm nhập, toàn bộ khóa API, token truy cập và thông tin xác thực liên quan cần được thay đổi ngay lập tức.

Sự cố jscrambler tiếp tục cho thấy điểm yếu cố hữu của chuỗi cung ứng phần mềm hiện đại. Chỉ cần một tài khoản phát hành npm bị xâm phạm, một thư viện được hàng nghìn nhà phát triển tin tưởng có thể nhanh chóng trở thành công cụ phát tán mã độc, tạo bàn đạp cho các chiến dịch đánh cắp thông tin và tấn công hạ tầng đám mây trên diện rộng.​
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Thẻ
jscrambler jscrambler bị tấn công jscrambler npm mã độc npm npm malware npm supply chain attack tấn công chuỗi cung ứng
Bên trên