VietNetwork.Vn

Một chiến dịch mới đã nhắm vào kho lưu trữ gói npm bằng các thư viện JavaScript độc hại được thiết kế để lây nhiễm cho người dùng Roblox bằng phần mềm độc hại đánh cắp mã nguồn mở như Skuld và Blank-Grabber.

Nhà nghiên cứu bảo mật của Socket Kirill Boychenko cho biết trong một báo cáo chia sẻ với The Hacker News: "Sự cố này nêu bật mức độ dễ dàng đáng báo động mà các tác nhân đe dọa có thể thực hiện các cuộc tấn công chuỗi cung ứng bằng cách lợi dụng lòng tin và lỗi của con người trong hệ sinh thái nguồn mở, đồng thời sử dụng phần mềm độc hại phổ biến, các nền tảng công cộng như GitHub để lưu trữ các tệp thực thi độc hại và các kênh liên lạc như Discord và Telegram cho các hoạt động C2 để vượt qua các biện pháp bảo mật truyền thống ".


Danh sách các gói độc hại như sau:

• node-dlls (77 lượt tải xuống)
• ro.dll (74 lượt tải xuống)
• autoadv (66 lượt tải xuống)
• rolimons-api (107 lượt tải xuống)

Cần lưu ý rằng "node-dlls" là một nỗ lực của tác nhân đe dọa nhằm ngụy trang thành gói node-dll hợp pháp, cung cấp triển khai danh sách liên kết đôi cho JavaScript. Tương tự như vậy, rolimons-api là một biến thể lừa đảo của API Rolimon.


Boychenko lưu ý: "Mặc dù có các trình bao bọc và mô-đun không chính thức — chẳng hạn như gói Python rolimons ( được tải xuống hơn 17.000 lần) và mô-đun Rolimons Lua trên GitHub — các gói rolimons-api độc hại tìm cách khai thác lòng tin của các nhà phát triển vào những cái tên quen thuộc".

Các gói phần mềm độc hại kết hợp mã được che giấu để tải xuống và thực thi Skuld và Blank Grabber, các họ phần mềm độc hại đánh cắp được viết bằng Golang và Python, có khả năng thu thập nhiều thông tin từ các hệ thống bị nhiễm. Dữ liệu đã thu thập được sau đó được chuyển cho kẻ tấn công thông qua webhook Discord hoặc Telegram.

Trong một nỗ lực tiếp theo nhằm vượt qua các biện pháp bảo vệ an ninh, các tệp nhị phân phần mềm độc hại được lấy từ kho lưu trữ GitHub ("github[.]com/zvydev/code/") do tác nhân đe dọa kiểm soát.

Sự phổ biến của Roblox trong những năm gần đây đã dẫn đến việc các tác nhân đe dọa tích cực đẩy các gói giả mạo để nhắm vào cả nhà phát triển và người dùng. Đầu năm nay, một số gói độc hại như noblox.js-proxy-server, noblox-ts và noblox.js-async đã được phát hiện mạo danh thư viện noblox.js phổ biến.

Với những kẻ xấu lợi dụng lòng tin vào các gói được sử dụng rộng rãi để đẩy các gói bị đánh máy sai, các nhà phát triển được khuyên nên xác minh tên gói và kiểm tra kỹ mã nguồn trước khi tải xuống.

"Khi hệ sinh thái mã nguồn mở phát triển và nhiều nhà phát triển dựa vào mã được chia sẻ, bề mặt tấn công sẽ mở rộng, với các tác nhân đe dọa tìm kiếm nhiều cơ hội hơn để xâm nhập mã độc hại", Boychenko cho biết. "Sự cố này nhấn mạnh nhu cầu nâng cao nhận thức và thực hành bảo mật mạnh mẽ trong số các nhà phát triển".