Hacker Triều Tiên biến thư viện phần mềm thành công cụ phát tán mã độc

Một công ty an ninh mạng của Mỹ cho biết các hacker Triều Tiên đã lợi dụng một trong những thư viện phần mềm được sử dụng rộng rãi nhất thế giới để phát tán mã độc.

Theo báo cáo công bố tuần trước của Socket, công ty chuyên về bảo mật chuỗi cung ứng phần mềm, nhóm nghiên cứu đã phát hiện hơn 300 gói mã độc được tải lên npm registry — kho lưu trữ trung tâm được hàng triệu lập trình viên dùng để chia sẻ và cài đặt các phần mềm JavaScript.

Những gói mã này — vốn là các đoạn mã tái sử dụng cho nhiều ứng dụng, từ website đến nền tảng tiền điện tử — được ngụy trang trông hoàn toàn vô hại. Tuy nhiên, khi được tải xuống, chúng sẽ cài mã độc có khả năng đánh cắp mật khẩu, dữ liệu trình duyệt và khóa ví tiền điện tử. Socket cho biết chiến dịch này, được họ đặt tên là “Contagious Interview”, là một phần trong hoạt động tinh vi do hacker được nhà nước Triều Tiên hậu thuẫn thực hiện, giả danh các nhà tuyển dụng công nghệ để nhắm mục tiêu vào các lập trình viên trong lĩnh vực blockchain, Web3 và tiền điện tử.

Tại sao vụ việc này nghiêm trọng

Npm là xương sống của web hiện đại. Nếu bị xâm nhập, kẻ tấn công có thể dễ dàng chèn mã độc vào vô số ứng dụng phụ thuộc vào nó. Các chuyên gia an ninh mạng từ lâu đã cảnh báo rằng những cuộc tấn công chuỗi cung ứng phần mềm kiểu này đặc biệt nguy hiểm, vì mã độc có thể lây lan âm thầm qua các bản cập nhật và thư viện hợp pháp.

Dấu vết dẫn tới Triều Tiên

Các nhà nghiên cứu của Socket đã lần ra chiến dịch này thông qua những gói có tên gần giống (hoặc bị đánh vần sai) các thư viện nổi tiếng như express, dotenv và hardhat, cùng với mẫu mã tương đồng với các họ mã độc Triều Tiên từng được biết đến, như BeaverTail và InvisibleFerret.

Nhóm hacker sử dụng script mã hóa “loader” để giải mã và thực thi payload ẩn trực tiếp trong bộ nhớ, gần như không để lại dấu vết trên ổ đĩa.

Socket ước tính khoảng 50.000 lượt tải các gói mã độc này đã diễn ra trước khi phần lớn chúng bị gỡ bỏ — song một số vẫn còn tồn tại. Các hacker cũng giả danh tài khoản tuyển dụng LinkedIn, phương thức từng được Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA) ghi nhận trong các chiến dịch gián điệp mạng trước đây của Triều Tiên. Mục tiêu cuối cùng, theo điều tra viên, là các máy tính chứa thông tin truy cập và ví kỹ thuật số.

Mặc dù một số chi tiết như số lượng gói bị xâm nhập chính xác vẫn đang được xác minh độc lập, nhưng bằng chứng kỹ thuật và mô hình tấn công phù hợp với các vụ việc trước đây có liên quan tới Bình Nhưỡng, bao gồm các vụ trộm tiền điện tử trị giá hàng tỷ đô la.

Cảnh báo cho cộng đồng lập trình viên và startup crypto

GitHub — đơn vị sở hữu npm — cho biết họ đang xóa bỏ các gói mã độc khi phát hiện và tăng cường yêu cầu xác minh tài khoản. Tuy nhiên, các nhà nghiên cứu cảnh báo rằng đây là cuộc chiến “mèo vờn chuột”: cứ gỡ bỏ một nhóm mã độc, hàng trăm gói mới lại xuất hiện.

Vụ việc là hồi chuông cảnh tỉnh cho các nhà phát triển và startup tiền điện tử về tính mong manh của chuỗi cung ứng phần mềm. Các chuyên gia khuyến nghị nên xem mỗi lệnh “npm install” như một hành động thực thi mã tiềm ẩn rủi ro, quét kỹ các gói phụ thuộc trước khi tích hợp và sử dụng công cụ kiểm tra tự động để phát hiện mã bị chỉnh sửa.

Sức mạnh của hệ sinh thái mã nguồn mở nằm ở sự cởi mở — nhưng chính sự cởi mở ấy cũng là điểm yếu lớn nhất khi bị kẻ thù khai thác làm vũ khí.

• 21 triệu USD từ ví liên kết SBI Crypto bị chuyển vào Tornado Cash, nghi do tin tặc Triều Tiên
• Hacker Triều Tiên tấn công ứng viên crypto bằng malware BeaverTail

Thạch Sanh