-
09/04/2020
-
128
-
1.774 bài viết
Chiến dịch thao túng tâm lý quy mô lớn nhắm vào các "kiến trúc sư" Node.js
Một lời mời kết nối trên LinkedIn, một cuộc trao đổi tưởng chừng chuyên nghiệp và một buổi họp trực tuyến “lỗi âm thanh”, chuỗi tình huống quen thuộc đó đang trở thành điểm khởi đầu cho một chiến dịch tấn công có chủ đích nhằm vào những người đứng sau các thư viện JavaScript phổ biến nhất thế giới. Sau sự cố xâm phạm Axios với hơn 100 triệu lượt tải mỗi tuần, giới nghiên cứu ghi nhận hàng loạt maintainer trong hệ sinh thái Node.js và npm bị tiếp cận theo cùng một kịch bản, cho thấy một chiến lược mới đang hình thành khi tin tặc chuyển hướng sang khai thác yếu tố con người nhằm kiểm soát chuỗi cung ứng phần mềm.
Không còn đi theo cách phát tán phishing ồ ạt, các đối tượng chuyển sang nhắm vào những nhà phát triển đang duy trì các thư viện nền tảng như WebTorrent, Lodash, Fastify hay dotenv. Đây là các công cụ được sử dụng rộng rãi trong rất nhiều ứng dụng và hệ thống trên toàn thế giới. Khi chiếm được quyền kiểm soát một tài khoản maintainer, phạm vi ảnh hưởng không còn dừng ở một cá nhân mà có thể lan sang nhiều dự án đang phụ thuộc vào thư viện đó. Tin tặc có thể âm thầm chèn mã độc vào các bản cập nhật của thư viện và những bản cập nhật này sau đó sẽ được hệ thống tự động tải về như bình thường, từ đó mở đường cho mã độc xâm nhập vào môi trường doanh nghiệp mà không bị nghi ngờ.
Chiến dịch được triển khai một cách kiên nhẫn và có tính toán. Tin tặc giả danh nhân sự từ các công ty công nghệ, chủ động tiếp cận nạn nhân qua LinkedIn hoặc Slack và mời tham gia phỏng vấn, podcast hoặc trao đổi chuyên môn. Các tương tác không diễn ra dồn dập mà kéo dài trong nhiều tuần, với lịch hẹn được sắp xếp rồi điều chỉnh như những cuộc làm việc bình thường. Cách tiếp cận này giúp chúng từng bước tạo dựng lòng tin, khiến toàn bộ quá trình trở nên tự nhiên và khó bị nghi ngờ, ngay cả với những maintainer có nhiều kinh nghiệm.
Các kỹ sư của Socket, bao gồm CEO Feross Aboukhadijeh, cùng Matteo Collina cũng xác nhận họ từng trở thành mục tiêu của chiến dịch này. Theo chia sẻ, các đối tượng đã giả danh một công ty hợp pháp để tiếp cận, khiến toàn bộ quá trình ban đầu gần như không có dấu hiệu đáng ngờ.
Một lời mời kết nối trên LinkedIn được gửi từ các đối tượng đứng sau chiến dịch (Nguồn: Socket)
Kịch bản tấn công không bắt đầu bằng cảnh báo hay dấu hiệu bất thường, mà xuất hiện ngay trong một cuộc gọi tưởng như hoàn toàn bình thường. Nạn nhân được mời tham gia một nền tảng họp trực tuyến với giao diện quen thuộc, đủ để tạo cảm giác tin cậy ngay từ đầu. Khi cuộc gọi diễn ra, một lỗi kỹ thuật được dựng lên có chủ ý, buộc người tham gia phải thực hiện vài thao tác “khắc phục”. Chỉ một lần tải ứng dụng hoặc chạy lệnh theo hướng dẫn, cánh cửa hệ thống đã mở ra. Từ thời điểm đó, mã độc âm thầm hoạt động và quyền kiểm soát không còn nằm trong tay người dùng, dù họ gần như không nhận thấy bất kỳ dấu hiệu rõ ràng nào.
Phần mềm độc hại được triển khai trong chiến dịch này là một biến thể của Remote Access Trojan, nhưng cách vận hành cho thấy mức độ hoàn thiện cao hơn các mẫu phổ biến. Ngay sau khi được kích hoạt, mã độc không gây ra biểu hiện bất thường mà âm thầm thu thập dữ liệu quan trọng từ hệ thống, bao gồm cookie trình duyệt, thông tin xác thực dịch vụ đám mây, keychain mật khẩu và đặc biệt là các token phát triển đang còn hiệu lực. Đồng thời, mã độc duy trì kết nối định kỳ với máy chủ điều khiển để nhận lệnh, cho phép tin tặc thao túng hệ thống từ xa theo thời gian thực.
Điểm nguy hiểm nằm ở việc mã độc không tìm cách phá vỡ cơ chế bảo mật, mà “đi vòng” bằng cách tận dụng chính những phiên đăng nhập đã được xác thực trước đó. Khi cookie và token bị đánh cắp, xác thực hai yếu tố gần như mất tác dụng, bởi tin tặc không cần đăng nhập lại từ đầu. Thay vào đó, chúng có thể chiếm quyền phiên làm việc đang tồn tại và truy cập thẳng vào các hệ thống quan trọng, bao gồm cả tài khoản quản lý package trên npm.
Sau khi có quyền truy cập, quá trình khai thác diễn ra rất nhanh và kín đáo. Tin tặc có thể chỉnh sửa mã nguồn hoặc chèn thêm thành phần độc hại vào thư viện, sau đó phát hành bản cập nhật dưới danh nghĩa chính maintainer hợp pháp. Do toàn bộ thao tác diễn ra trong môi trường đã được xác thực, các cơ chế kiểm soát thông thường gần như không phát hiện được bất thường. Bản cập nhật độc hại vì thế vẫn được phân phối như bình thường và nhanh chóng lan tới các hệ thống đang phụ thuộc vào thư viện đó.
Các dấu hiệu kỹ thuật cho thấy chiến dịch có liên hệ với nhóm UNC1069, vốn trước đây chủ yếu nhắm vào lĩnh vực tiền điện tử. Tuy nhiên, hướng đi lần này cho thấy một sự thay đổi rõ rệt. Thay vì tìm kiếm lợi ích tài chính trực tiếp từ từng mục tiêu, nhóm này chuyển sang nhắm vào các thành phần phần mềm nền tảng, nơi chỉ cần kiểm soát một điểm cũng có thể mở rộng ảnh hưởng trên diện rộng. Khi một thư viện phổ biến bị can thiệp, mã độc có thể theo các bản cập nhật lan tới hàng loạt hệ thống đang sử dụng, tạo ra hiệu ứng lan truyền mà không cần tấn công riêng lẻ từng mục tiêu.
Diễn biến này cho thấy cách tấn công đang thay đổi rõ rệt. Khi các lớp phòng thủ kỹ thuật ngày càng được củng cố, tin tặc chuyển sang nhắm trực tiếp vào con người đứng sau các dòng mã. Việc bảo vệ tài khoản maintainer, kiểm soát môi trường phát triển và cảnh giác với các kịch bản lừa đảo không còn là lựa chọn, mà đã trở thành yêu cầu bắt buộc để giữ an toàn cho toàn bộ hệ sinh thái phần mềm.
Phần mềm độc hại được triển khai trong chiến dịch này là một biến thể của Remote Access Trojan, nhưng cách vận hành cho thấy mức độ hoàn thiện cao hơn các mẫu phổ biến. Ngay sau khi được kích hoạt, mã độc không gây ra biểu hiện bất thường mà âm thầm thu thập dữ liệu quan trọng từ hệ thống, bao gồm cookie trình duyệt, thông tin xác thực dịch vụ đám mây, keychain mật khẩu và đặc biệt là các token phát triển đang còn hiệu lực. Đồng thời, mã độc duy trì kết nối định kỳ với máy chủ điều khiển để nhận lệnh, cho phép tin tặc thao túng hệ thống từ xa theo thời gian thực.
Điểm nguy hiểm nằm ở việc mã độc không tìm cách phá vỡ cơ chế bảo mật, mà “đi vòng” bằng cách tận dụng chính những phiên đăng nhập đã được xác thực trước đó. Khi cookie và token bị đánh cắp, xác thực hai yếu tố gần như mất tác dụng, bởi tin tặc không cần đăng nhập lại từ đầu. Thay vào đó, chúng có thể chiếm quyền phiên làm việc đang tồn tại và truy cập thẳng vào các hệ thống quan trọng, bao gồm cả tài khoản quản lý package trên npm.
Sau khi có quyền truy cập, quá trình khai thác diễn ra rất nhanh và kín đáo. Tin tặc có thể chỉnh sửa mã nguồn hoặc chèn thêm thành phần độc hại vào thư viện, sau đó phát hành bản cập nhật dưới danh nghĩa chính maintainer hợp pháp. Do toàn bộ thao tác diễn ra trong môi trường đã được xác thực, các cơ chế kiểm soát thông thường gần như không phát hiện được bất thường. Bản cập nhật độc hại vì thế vẫn được phân phối như bình thường và nhanh chóng lan tới các hệ thống đang phụ thuộc vào thư viện đó.
Các dấu hiệu kỹ thuật cho thấy chiến dịch có liên hệ với nhóm UNC1069, vốn trước đây chủ yếu nhắm vào lĩnh vực tiền điện tử. Tuy nhiên, hướng đi lần này cho thấy một sự thay đổi rõ rệt. Thay vì tìm kiếm lợi ích tài chính trực tiếp từ từng mục tiêu, nhóm này chuyển sang nhắm vào các thành phần phần mềm nền tảng, nơi chỉ cần kiểm soát một điểm cũng có thể mở rộng ảnh hưởng trên diện rộng. Khi một thư viện phổ biến bị can thiệp, mã độc có thể theo các bản cập nhật lan tới hàng loạt hệ thống đang sử dụng, tạo ra hiệu ứng lan truyền mà không cần tấn công riêng lẻ từng mục tiêu.
Diễn biến này cho thấy cách tấn công đang thay đổi rõ rệt. Khi các lớp phòng thủ kỹ thuật ngày càng được củng cố, tin tặc chuyển sang nhắm trực tiếp vào con người đứng sau các dòng mã. Việc bảo vệ tài khoản maintainer, kiểm soát môi trường phát triển và cảnh giác với các kịch bản lừa đảo không còn là lựa chọn, mà đã trở thành yêu cầu bắt buộc để giữ an toàn cho toàn bộ hệ sinh thái phần mềm.
Theo Cyber Security News