VietNetwork.Vn

Một chiến dịch đang diễn ra nhắm vào các nhà phát triển npm với hàng trăm phiên bản typosquat của các đối tác hợp pháp nhằm lừa họ chạy phần mềm độc hại đa nền tảng.

Theo những phát hiện độc lập từ Checkmarx, Phylum và Socket được công bố trong vài ngày qua, cuộc tấn công này đáng chú ý vì sử dụng các hợp đồng thông minh Ethereum để phân phối địa chỉ máy chủ chỉ huy và kiểm soát (C2).


Hoạt động này được đánh dấu lần đầu tiên vào ngày 31 tháng 10 năm 2024, mặc dù được cho là đã diễn ra ít nhất một tuần trước đó. Không dưới 287 gói typosquat đã được công bố lên sổ đăng ký gói npm.

Phylum cho biết: "Khi chiến dịch này bắt đầu diễn ra, rõ ràng là kẻ tấn công đang trong giai đoạn đầu của một chiến dịch đánh máy nhầm nhắm vào các nhà phát triển có ý định sử dụng Puppeteer, Bignum.js phổ biến và nhiều thư viện tiền điện tử khác".

Các gói này chứa JavaScript được tối giản hóa được thực thi trong (hoặc sau) quá trình cài đặt, cuối cùng dẫn đến việc truy xuất tệp nhị phân giai đoạn tiếp theo từ máy chủ từ xa dựa trên hệ điều hành.

Về phần mình, tệp nhị phân thiết lập tính bền bỉ và truyền thông tin nhạy cảm liên quan đến máy bị xâm nhập trở lại cùng một máy chủ.


Nhưng trong một bước ngoặt thú vị, mã JavaScript tương tác với hợp đồng thông minh Ethereum bằng thư viện ethers.js để lấy địa chỉ IP. Cần đề cập ở đây rằng một chiến dịch có tên EtherHiding đã tận dụng một chiến thuật tương tự bằng cách sử dụng hợp đồng Smart Chain (BSC) của Binance để chuyển sang giai đoạn tiếp theo của chuỗi tấn công.

Bản chất phi tập trung của blockchain có nghĩa là việc chặn chiến dịch khó khăn hơn vì các địa chỉ IP do hợp đồng cung cấp có thể được kẻ tấn công cập nhật theo thời gian, do đó cho phép phần mềm độc hại kết nối liền mạch với các địa chỉ IP mới khi các địa chỉ cũ bị chặn hoặc gỡ bỏ.

Nhà nghiên cứu Yehuda Gelb của Checkmarx cho biết: "Bằng cách sử dụng blockchain theo cách này, kẻ tấn công có được hai lợi thế chính: cơ sở hạ tầng của chúng hầu như không thể bị phá hủy do bản chất bất biến của blockchain và kiến trúc phi tập trung khiến việc chặn các liên lạc này trở nên cực kỳ khó khăn".

Hiện vẫn chưa rõ ai là người đứng sau chiến dịch này, mặc dù Nhóm nghiên cứu mối đe dọa Socket cho biết họ đã xác định được các thông báo lỗi được viết bằng tiếng Nga nhằm mục đích xử lý ngoại lệ và ghi nhật ký, cho thấy kẻ tấn công có thể là người nói tiếng Nga.

Sự phát triển này một lần nữa chứng minh những cách thức mới mà kẻ tấn công đang sử dụng để đầu độc hệ sinh thái nguồn mở, đòi hỏi các nhà phát triển phải cảnh giác khi tải xuống các gói từ kho lưu trữ phần mềm.

Gelb cho biết: "Việc sử dụng công nghệ blockchain cho cơ sở hạ tầng C2 thể hiện một cách tiếp cận khác đối với các cuộc tấn công chuỗi cung ứng trong hệ sinh thái npm, giúp cơ sở hạ tầng tấn công có khả năng phục hồi tốt hơn trước các nỗ lực triệt phá trong khi làm phức tạp thêm các nỗ lực phát hiện".