-
09/04/2020
-
122
-
1.385 bài viết
Mã độc có khả năng tự sao chép đầu độc npm và sẵn sàng phá hủy dữ liệu Cloud
Các nhà nghiên cứu bảo mật vừa phát hiện một biến thể nguy hiểm của sâu máy tính (worm) tự sao chép mang tên Shai-hulud. Phiên bản 2.0 này không chỉ đầu độc kho lưu trữ npm mà còn tấn công trực tiếp vào hệ sinh thái Cloud với khả năng đánh cắp thông tin xác thực và phá hủy dữ liệu.
Shai-hulud được đặt tên theo loài sâu cát khổng lồ trong vũ trụ Dune lần đầu tiên xuất hiện vào tháng 11 năm ngoái, nhắm mục tiêu vào chuỗi cung ứng phần mềm thông qua các gói npm. Tuy nhiên, theo báo cáo mới nhất từ Trend Micro, biến thể Shai-hulud 2.0 đã "lột xác" với những khả năng đáng gờm hơn nhiều.
Ảnh minh họa: Shutterstock
Ngay khi xâm nhập thành công, mã độc thực hiện chuỗi hành vi leo thang đặc quyền:
Đáng báo động nhất, Shai-hulud 2.0 được tích hợp tính năng Wiper. Nếu việc thu thập dữ liệu không thành công, mã độc sẽ kích hoạt đoạn mã để xóa sạch dữ liệu của người dùng, đây là hành vi "không ăn được thì đạp đổ" mang tính phá hoại cực cao.
Shai-hulud được đặt tên theo loài sâu cát khổng lồ trong vũ trụ Dune lần đầu tiên xuất hiện vào tháng 11 năm ngoái, nhắm mục tiêu vào chuỗi cung ứng phần mềm thông qua các gói npm. Tuy nhiên, theo báo cáo mới nhất từ Trend Micro, biến thể Shai-hulud 2.0 đã "lột xác" với những khả năng đáng gờm hơn nhiều.
Ảnh minh họa: Shutterstock
Từ phishing đến chiếm quyền Cloud
Chuỗi tấn công của Shai-hulud 2.0 bắt đầu bằng kỹ thuật cổ điển nhưng hiệu quả: phishing. Kẻ tấn công gửi email giả mạo cảnh báo bảo mật npm để lừa lập trình viên cung cấp thông tin đăng nhập.Ngay khi xâm nhập thành công, mã độc thực hiện chuỗi hành vi leo thang đặc quyền:
- Chiếm đoạt tài khoản npm: Tự động chèn backdoor vào mọi gói (package) mà nạn nhân đang duy trì.
- Đầu độc GitHub: Sử dụng API để republish các phiên bản độc hại lên kho lưu trữ của nạn nhân.
- Lan truyền dây chuyền: Khi một nhà phát triển khác tải về gói bị nhiễm, quy trình lây nhiễm sẽ tự động lặp lại (self-replicating).
Nhắm mục tiêu vào AWS, GCP và Azure
Điểm nâng cấp đáng sợ nhất của Shai-hulud 2.0 là khả năng tương tác sâu với các dịch vụ Secret Management Services trên Cloud. Mã độc sử dụng thông tin xác thực bị đánh cắp để truy vấn API, nhắm thẳng vào AWS Secrets Manager, GCP Secret Manager API và Azure Key Vault cùng với Azure Pod Identity. Mã độc thậm chí còn cài đặt công cụ TruffleHog để quét sâu hơn các secret còn sót lại.Đáng báo động nhất, Shai-hulud 2.0 được tích hợp tính năng Wiper. Nếu việc thu thập dữ liệu không thành công, mã độc sẽ kích hoạt đoạn mã để xóa sạch dữ liệu của người dùng, đây là hành vi "không ăn được thì đạp đổ" mang tính phá hoại cực cao.
Khuyến cáo cho các chuyên gia
Trước mối đe dọa đa tầng của Shai-hulud 2.0, các quản trị viên và DevOps cần phải xem xét lại ngay chính sách quyền hạn. Đừng bao giờ cấp quyền vô tội vạ. Nguyên tắc phải luôn là "Đặc quyền tối thiểu" (Least Privilege):- Token và Key: Hãy xem các API key hay token như "chìa khóa phòng server". Đừng dùng một chiếc chìa vạn năng cho cả hệ thống. Thay vào đó, dùng token ngắn hạn và giới hạn phạm vi truy cập tối đa. Một token bị lộ chỉ nên "chết" trong phạm vi nhỏ nhất có thể, chứ không phải sập cả hạ tầng CI/CD của công ty.
- Dependency: Khi dùng các package npm, hãy ghim phiên bản cụ thể. Đừng để chế độ tự động chấp nhận bất kỳ phiên bản mới nào ngay khi nó vừa lên kệ. Việc này tạo ra một khoảng đệm an toàn cho phép các công cụ quét và cộng đồng kịp thời phát hiện ra các gói độc như Shai-hulud trước khi chúng kịp chui vào code của chúng ta.
Theo DarkReading