VietNetwork.Vn

Các nhà nghiên cứu an ninh mạng đã tiết lộ chi tiết về một chiến dịch tấn công lừa đảo có chủ đích và kéo dài, trong đó đã đăng tải hơn hai chục gói lên kho lưu trữ npm để tạo điều kiện cho việc đánh cắp thông tin đăng nhập.

Theo Socket, hoạt động này, bao gồm việc tải lên 27 gói npm từ sáu bí danh npm khác nhau, chủ yếu nhắm vào nhân viên bán hàng và thương mại tại các tổ chức liên quan đến cơ sở hạ tầng trọng yếu ở Mỹ và các quốc gia đồng minh.


"Một chiến dịch kéo dài 5 tháng đã biến 27 gói npm thành nơi lưu trữ bền vững cho các chiêu trò lừa đảo chạy trên trình duyệt, bắt chước các cổng chia sẻ tài liệu và đăng nhập Microsoft, nhắm mục tiêu vào 25 tổ chức thuộc các lĩnh vực sản xuất, tự động hóa công nghiệp, nhựa và chăm sóc sức khỏe để đánh cắp thông tin đăng nhập", các nhà nghiên cứu Nicholas Anderson và Kirill Boychenko cho biết.

Tên của các gói sản phẩm được liệt kê bên dưới:

    adril7123
    ardril712
    arrdril712
    androidvoues
    assetslush
    axerification
    erification
    erificatsion
    errification
    eruification
    hgfiuythdjfhgff
    homiersla
    houimlogs22
    iuythdjfghgff
    iuythdjfhgff
    iuythdjfhgffdf
    iuythdjfhgffs
    iuythdjfhgffyg
    jwoiesk11
    modules9382
    onedrive-verification
    sarrdril712
    scriptstierium11
    secure-docs-app
    sync365
    ttetrification
    vampuleerl

Thay vì yêu cầu người dùng cài đặt các gói phần mềm, mục tiêu cuối cùng của chiến dịch là tái sử dụng npm và các mạng phân phối nội dung (CDN) đóng vai trò là cơ sở hạ tầng lưu trữ, dùng chúng để phân phối các đoạn mã HTML và JavaScript phía máy khách giả mạo việc chia sẻ tài liệu an toàn, được nhúng trực tiếp vào các trang web lừa đảo. Sau đó, nạn nhân sẽ bị chuyển hướng đến trang đăng nhập của Microsoft với địa chỉ email đã được điền sẵn trong biểu mẫu.

Việc sử dụng CDN gói phần mềm mang lại một số lợi ích, quan trọng nhất là khả năng biến một dịch vụ phân phối hợp pháp thành cơ sở hạ tầng có khả năng chống lại các cuộc tấn công gỡ bỏ. Ngoài ra, nó còn giúp kẻ tấn công dễ dàng chuyển sang các bí danh nhà xuất bản và tên gói khác, ngay cả khi các thư viện bị gỡ bỏ.

Các gói phần mềm này được phát hiện tích hợp nhiều bước kiểm tra ở phía máy khách nhằm gây khó khăn cho các nỗ lực phân tích, bao gồm lọc bỏ bot, né tránh môi trường sandbox và yêu cầu nhập liệu bằng chuột hoặc cảm ứng trước khi đưa nạn nhân đến cơ sở hạ tầng thu thập thông tin đăng nhập do kẻ tấn công kiểm soát. Mã JavaScript cũng được làm mờ hoặc thu nhỏ đáng kể để gây khó khăn hơn cho việc kiểm tra tự động.

Một biện pháp kiểm soát chống phân tích quan trọng khác được kẻ tấn công áp dụng liên quan đến việc sử dụng các trường biểu mẫu bẫy (honeypot) được ẩn khỏi tầm nhìn của người dùng thực, nhưng rất có thể sẽ được các trình thu thập dữ liệu điền vào. Bước này hoạt động như một lớp phòng thủ thứ hai, ngăn chặn cuộc tấn công tiến xa hơn.


Socket cho biết các tên miền được đóng gói trong các gói tin này trùng lặp với cơ sở hạ tầng tấn công lừa đảo kiểu "kẻ tấn công trung gian" (AitM) liên quan đến Evilginx, một bộ công cụ lừa đảo mã nguồn mở.

Đây không phải là lần đầu tiên npm bị biến thành cơ sở hạ tầng tấn công lừa đảo. Quay trở lại tháng 10 năm 2025, công ty bảo mật chuỗi cung ứng phần mềm đã mô tả chi tiết một chiến dịch có tên Beamglea, trong đó các tác nhân đe dọa không xác định đã tải lên 175 gói phần mềm độc hại để thực hiện các cuộc tấn công thu thập thông tin đăng nhập. Làn sóng tấn công mới nhất được đánh giá là khác biệt so với Beamglea.

Socket cho biết: "Chiến dịch này tuân theo cùng một kịch bản cốt lõi, nhưng với cơ chế phân phối khác. Thay vì gửi các đoạn mã chuyển hướng tối thiểu, các gói này cung cấp một luồng tấn công lừa đảo tự động, được thực thi trên trình duyệt dưới dạng một gói HTML và JavaScript nhúng, chạy khi được tải trong ngữ cảnh trang."

Hơn nữa, các gói tin lừa đảo này được phát hiện mã hóa cứng 25 địa chỉ email liên kết với các cá nhân cụ thể, những người làm việc trong các vị trí quản lý tài khoản, bán hàng và đại diện phát triển kinh doanh trong các lĩnh vực sản xuất, tự động hóa công nghiệp, chuỗi cung ứng nhựa và polyme, chăm sóc sức khỏe tại Áo, Bỉ, Canada, Pháp, Đức, Ý, Bồ Đào Nha, Tây Ban Nha, Thụy Điển, Đài Loan, Thổ Nhĩ Kỳ, Anh và Mỹ.

Hiện vẫn chưa rõ làm thế nào những kẻ tấn công có được địa chỉ email. Nhưng vì nhiều công ty bị nhắm mục tiêu thường tham dự các hội chợ thương mại quốc tế lớn, chẳng hạn như Interpack và K-Fair, nên người ta nghi ngờ rằng những kẻ tấn công có thể đã thu thập thông tin từ các trang web này và kết hợp nó với việc thu thập thông tin chung trên mạng internet.

"Trong một số trường hợp, địa điểm mục tiêu khác với trụ sở chính của công ty, điều này phù hợp với việc kẻ tấn công tập trung vào nhân viên bán hàng khu vực, giám đốc quốc gia và các đội ngũ thương mại địa phương hơn là chỉ bộ phận CNTT của công ty", công ty cho biết.

Để đối phó với rủi ro do mối đe dọa gây ra, điều cần thiết là phải thực thi việc xác minh phụ thuộc nghiêm ngặt, ghi lại các yêu cầu CDN bất thường từ các ngữ cảnh không phải phát triển, thực thi xác thực đa yếu tố (MFA) chống lừa đảo và giám sát các sự kiện đáng ngờ sau khi xác thực.

Diễn biến này diễn ra khi Socket cho biết họ đã quan sát thấy sự gia tăng đều đặn của các phần mềm độc hại gây hại trên npm, PyPI, NuGet Gallery và các chỉ mục mô-đun Go, sử dụng các kỹ thuật như thực thi trì hoãn và các công tắc tắt điều khiển từ xa để né tránh phát hiện sớm và tải mã thực thi trong thời gian chạy bằng các công cụ tiêu chuẩn như wget và curl.


"Thay vì mã hóa ổ đĩa hoặc phá hủy tệp tin một cách bừa bãi, các gói phần mềm này có xu hướng hoạt động một cách chính xác hơn", nhà nghiên cứu Kush Pandya cho biết.

"Chúng chỉ xóa những thứ quan trọng đối với nhà phát triển: kho lưu trữ Git, thư mục mã nguồn, tệp cấu hình và kết quả xây dựng CI. Chúng thường tích hợp logic này vào các đường dẫn mã chức năng khác và dựa vào các hook vòng đời tiêu chuẩn để thực thi, có nghĩa là phần mềm độc hại có thể không bao giờ cần được nhập hoặc gọi một cách rõ ràng bởi chính ứng dụng."