-
09/04/2020
-
114
-
1.118 bài viết
Mã độc “SilentSync RAT” ẩn trong gói Python, đe dọa Windows, macOS và Linux
Các nhà nghiên cứu an ninh mạng từ đưa ra cảnh báo về hai gói Python độc hại được phát hiện trong kho PyPI - một nền tảng phần mềm phổ biến toàn cầu. Hai gói có tên sisaws và secmeasure, được tải xuống tổng cộng hơn 800 lần trước khi bị gỡ bỏ, thực chất là công cụ phát tán một loại mã độc nguy hiểm có tên SilentSync RAT.
Điểm tinh vi ở đây là cả hai gói đều được ngụy trang rất khéo. Sisaws bắt chước gói “sisa” vốn dùng trong hệ thống y tế quốc gia Argentina, còn secmeasure được quảng bá như một thư viện “làm sạch chuỗi và tăng bảo mật”. Thế nhưng, bên trong lại cài sẵn đoạn mã gọi ra lệnh từ xa và tải về một tập lệnh Python khác từ PasteBin. Một khi chạy, tập lệnh này cài đặt SilentSync RAT lên máy nạn nhân.
SilentSync không phải trojan tầm thường. Nó có thể thực thi lệnh từ xa, đánh cắp dữ liệu, trích xuất thông tin trình duyệt (như mật khẩu, cookie, lịch sử), chụp màn hình và gửi file về máy chủ của kẻ tấn công. Đáng lo hơn, nó còn có cơ chế ẩn mình: sau khi lấy dữ liệu, mã độc sẽ tự xóa dấu vết để tránh bị phát hiện. Hạ tầng điều khiển của nhóm tấn công cũng được tổ chức bài bản với nhiều endpoint chuyên biệt cho kiểm tra kết nối, nhận lệnh, trả dữ liệu hay gửi file đánh cắp.
Theo phân tích, SilentSync hiện chủ yếu nhắm tới Windows, nhưng cũng có sẵn tính năng lây lan trên Linux và macOS. Trên Windows, nó chỉnh sửa Registry; Trên Linux, nó cài cronjob; Trên macOS, nó tạo LaunchAgent để tự động khởi động cùng hệ thống. Đây chính là dấu hiệu cho thấy tác giả muốn mở rộng phạm vi tấn công trên nhiều nền tảng.
Điều đáng sợ là các gói độc hại này được phân phối công khai ngay trên PyPI. Bằng chiêu typosquatting (tạo tên gần giống gói thật) và giả dạng thương hiệu uy tín, kẻ tấn công đã tận dụng chuỗi cung ứng phần mềm để chui thẳng vào dự án của nhà phát triển, từ đó mở đường tấn công vào hàng loạt người dùng cuối.
Để giảm rủi ro, các chuyên gia khuyến cáo lập trình viên nên:
Điểm tinh vi ở đây là cả hai gói đều được ngụy trang rất khéo. Sisaws bắt chước gói “sisa” vốn dùng trong hệ thống y tế quốc gia Argentina, còn secmeasure được quảng bá như một thư viện “làm sạch chuỗi và tăng bảo mật”. Thế nhưng, bên trong lại cài sẵn đoạn mã gọi ra lệnh từ xa và tải về một tập lệnh Python khác từ PasteBin. Một khi chạy, tập lệnh này cài đặt SilentSync RAT lên máy nạn nhân.
SilentSync không phải trojan tầm thường. Nó có thể thực thi lệnh từ xa, đánh cắp dữ liệu, trích xuất thông tin trình duyệt (như mật khẩu, cookie, lịch sử), chụp màn hình và gửi file về máy chủ của kẻ tấn công. Đáng lo hơn, nó còn có cơ chế ẩn mình: sau khi lấy dữ liệu, mã độc sẽ tự xóa dấu vết để tránh bị phát hiện. Hạ tầng điều khiển của nhóm tấn công cũng được tổ chức bài bản với nhiều endpoint chuyên biệt cho kiểm tra kết nối, nhận lệnh, trả dữ liệu hay gửi file đánh cắp.
Theo phân tích, SilentSync hiện chủ yếu nhắm tới Windows, nhưng cũng có sẵn tính năng lây lan trên Linux và macOS. Trên Windows, nó chỉnh sửa Registry; Trên Linux, nó cài cronjob; Trên macOS, nó tạo LaunchAgent để tự động khởi động cùng hệ thống. Đây chính là dấu hiệu cho thấy tác giả muốn mở rộng phạm vi tấn công trên nhiều nền tảng.
Điều đáng sợ là các gói độc hại này được phân phối công khai ngay trên PyPI. Bằng chiêu typosquatting (tạo tên gần giống gói thật) và giả dạng thương hiệu uy tín, kẻ tấn công đã tận dụng chuỗi cung ứng phần mềm để chui thẳng vào dự án của nhà phát triển, từ đó mở đường tấn công vào hàng loạt người dùng cuối.
Để giảm rủi ro, các chuyên gia khuyến cáo lập trình viên nên:
- Luôn kiểm tra kỹ nguồn gốc gói Python trước khi cài đặt, đặc biệt với những gói mới hoặc ít người sử dụng.
- Sử dụng các công cụ kiểm tra bảo mật gói (package scanner).
- Giới hạn quyền truy cập và tách biệt môi trường khi thử nghiệm thư viện lạ.
- Người dùng cuối cần cập nhật phần mềm và trình duyệt thường xuyên, đồng thời cảnh giác với các dấu hiệu bất thường trên máy.
WhiteHat