-
09/04/2020
-
99
-
835 bài viết
Lợi dụng việc Telegram bị chặn, hacker tung Ruby Gems độc hại tại Việt Nam
Một chiến dịch tấn công chuỗi cung ứng mới nhắm vào các lập trình viên sử dụng Telegram trong quy trình CI/CD đã được phát hiện, lợi dụng tình hình lệnh cấm Telegram toàn quốc tại Việt Nam từ ngày 21/5/2025.
Lợi dụng điều này, tin tặc đã tung ra hai thư viện mã độc giả mạo với mục tiêu đánh cắp dữ liệu và kiểm soát hệ thống của lập trình viên, thông qua chiêu trò ngụy trang tinh vi trong các công cụ hỗ trợ Telegram. Đây là một ví dụ điển hình của tấn công chuỗi cung ứng phần mềm, khi kẻ xấu cài mã độc vào công cụ mà lập trình viên tải về và sử dụng mà không hề hay biết.
1. Quá trình và thủ đoạn của kẻ tấn công:
Nhóm tấn công đã phát hành hai Ruby Gems độc hại có tên:
Tin tặc mạo danh là người Việt Nam với tên tác giả như “Bùi nam”, “buidanhnam”... để tạo lòng tin. Họ còn sao chép giao diện và chức năng giống y như thư viện gốc, khiến người dùng không nghi ngờ.
2. Cách hoạt động và tấn công người dùng:
Khuyến cáo dành cho người dùng cần đặc biệt lưu ý:
Lợi dụng điều này, tin tặc đã tung ra hai thư viện mã độc giả mạo với mục tiêu đánh cắp dữ liệu và kiểm soát hệ thống của lập trình viên, thông qua chiêu trò ngụy trang tinh vi trong các công cụ hỗ trợ Telegram. Đây là một ví dụ điển hình của tấn công chuỗi cung ứng phần mềm, khi kẻ xấu cài mã độc vào công cụ mà lập trình viên tải về và sử dụng mà không hề hay biết.
1. Quá trình và thủ đoạn của kẻ tấn công:
Nhóm tấn công đã phát hành hai Ruby Gems độc hại có tên:
- fastlane-plugin-telegram-proxy
- fastlane-plugin-proxy\_teleram
Tin tặc mạo danh là người Việt Nam với tên tác giả như “Bùi nam”, “buidanhnam”... để tạo lòng tin. Họ còn sao chép giao diện và chức năng giống y như thư viện gốc, khiến người dùng không nghi ngờ.
2. Cách hoạt động và tấn công người dùng:
- Mọi tin nhắn, hình ảnh, tệp tin… mà lập trình viên gửi qua các thư viện giả này đều bị chuyển qua một máy chủ ngầm do tin tặc kiểm soát.
- Điều này đồng nghĩa với việc:
- Mã truy cập Telegram bot (bot token) bị đánh cắp.
- Thông tin nhạy cảm trong hệ thống phần mềm như: khóa môi trường, thông tin đăng nhập, bản phát hành phần mềm… đều có nguy cơ rò rỉ.
- Đáng nói hơn, thư viện độc hại vẫn phản hồi như bình thường, khiến cả lập trình viên và hệ thống kiểm tra tự động đều không phát hiện ra bất thường.
- Dù hiện giờ chúng đang nhắm vào người dùng Việt, nhưng mã độc này cũng không giới hạn khu vực, bất kỳ ai trên thế giới cài đặt cũng có thể bị tấn công.
- Khi được tích hợp vào quy trình tự động phát hành phần mềm (CI/CD), mã độc có thể gây hậu quả nghiêm trọng:
- Chèn mã độc vào phần mềm
- Rò rỉ mã nguồn hoặc dữ liệu khách hàng
- Phá hoại sản phẩm ngay trước khi phát hành
Khuyến cáo dành cho người dùng cần đặc biệt lưu ý:
- Ngay lập tức xóa bỏ hai thư viện độc hại:
- fastlane-plugin-telegram-proxy
- fastlane-plugin-proxy_teleram
- Thay đổi ngay lập tức tất cả token bot Telegram và mật khẩu, đặc biệt nếu đã từng sử dụng các plugin trên.
- Xem lại toàn bộ pipeline CI/CD để kiểm tra rò rỉ thông tin:
- Xem xét có tệp lạ, dữ liệu nào bị gửi ra ngoài không rõ lý do.
- Kiểm tra lại các bản phần mềm đã phát hành.
- Kiểm tra logs và lưu lượng mạng đến các domain lạ.Cấu hình firewall và hệ thống mạng để ngăn kết nối đến miền *.workers.dev và các domain không rõ nguồn gốc, trừ khi thật sự cần thiết.
- Cảnh giác với các thư viện lạ, ít người dùng hoặc có tên gần giống thư viện phổ biến.
- Sử dụng công cụ bảo mật tự động như Socket hoặc các nền tảng tương tự để phát hiện mã độc, mã chuyển hướng, hoặc lỗi chính tả trong tên thư viện.
Theo Cyber Press