Microsoft Threat Intelligence phát hiện hai gói npm bị xâm phạm đang phân phối mã độc trojan truy cập từ xa nhắm vào nhà phát triển và người dùng tiền mã hóa. Các gói độc hại, được xác định là utils-terminal@3.2.1 và logger-active@3.2.1, đánh cắp thao tác gõ phím, ảnh chụp màn hình và thông tin xác thực ví tiền mã hóa từ các hệ thống bị nhiễm. Kẻ tấn công sử dụng các kho lưu trữ trên Hugging Face để trích xuất thông tin bị đánh cắp, khiến việc phát hiện trở nên khó hơn đối với các nhóm an ninh. Chiến dịch nhắm vào máy trạm làm việc của nhà phát triển có chứa ví crypto chạy trên trình duyệt, khóa riêng, thông tin xác thực API của sàn giao dịch và thông tin xác thực dịch vụ đám mây. Phát hiện này nằm trong bối cảnh các rủi ro chuỗi cung ứng phần mềm đang diễn ra, ảnh hưởng đến nhà phát triển và người dùng crypto khi lưu trữ tài sản nhạy cảm trên máy dùng cho phát triển.
Microsoft xác định các gói npm độc hại phân phối mã độc RAT
Microsoft cảnh báo tội phạm mạng đang nhắm vào nhà phát triển và người dùng tiền mã hóa thông qua phần mềm độc hại được giấu trong các gói npm công khai. Theo Microsoft Threat Intelligence, hai gói npm bị xâm phạm, được xác định là utils-terminal@3.2.1 và logger-active@3.2.1, đã được phát hiện đang phân phối một trojan truy cập từ xa (RAT) có khả năng đánh cắp thông tin nhạy cảm từ hệ thống bị nhiễm.
Các gói độc hại được cho là được thiết kế để thu thập nhiều loại dữ liệu, bao gồm thao tác gõ phím, ảnh chụp màn hình, thông tin xác thực ví tiền mã hóa và các thông tin bí mật khác. Vì npm là một trong những sổ đăng ký phần mềm được sử dụng rộng rãi nhất cho nhà phát triển JavaScript, mối đe dọa có tiềm năng ảnh hưởng đến một lượng lớn người dùng, những người vô tình cài đặt các phần phụ thuộc bị cài cắm trong khi xây dựng ứng dụng hoặc dịch vụ web.
Kẻ tấn công chuyển dữ liệu bị đánh cắp qua nền tảng Hugging Face
Microsoft giải thích rằng kẻ tấn công đã dùng Hugging Face, một nền tảng phổ biến cho các dự án trí tuệ nhân tạo và học máy, như một phần trong quy trình trích xuất dữ liệu của chúng. Bằng cách chuyển dữ liệu bị đánh cắp qua một nền tảng đáng tin cậy, hoạt động độc hại có thể trông ít đáng ngờ hơn so với giao tiếp với các máy chủ điều khiển truyền thống, từ đó khiến việc phát hiện trở nên khó hơn đối với các nhóm an ninh.
Mã độc nhắm vào ví crypto và thông tin xác thực của nhà phát triển
Mối đe dọa đặc biệt đáng lo ngại đối với nhà phát triển crypto và nhà đầu tư. Máy trạm của nhà phát triển thường chứa ví crypto dựa trên trình duyệt, khóa riêng, bản sao lưu cụm từ seed, thông tin xác thực API của sàn giao dịch, mã truy cập (access token) GitHub và thông tin xác thực dịch vụ đám mây. Nếu kẻ tấn công giành được quyền truy cập vào các tài sản này, chúng có thể làm tổn hại các khoản nắm giữ tiền mã hóa, môi trường phát triển, hệ thống giao dịch và các kho mã nguồn.
Chiến dịch liên quan đến các cuộc tấn công chuỗi cung ứng trước đó
Các phát hiện của Microsoft cũng phù hợp với một xu hướng các cuộc tấn công nhắm vào chuỗi cung ứng phần mềm. Tháng Năm, các nhà nghiên cứu an ninh phát hiện chiến dịch mã độc TrapDoor, lây lan thông qua hàng chục gói độc hại trên npm, PyPI và các kho lưu trữ Rust. Hoạt động này nhắm cụ thể vào các nhà phát triển crypto và trí tuệ nhân tạo bằng cách cố gắng đánh cắp dữ liệu ví, thông tin xác thực đám mây, khóa API và quyền truy cập SSH.
Cảnh báo mới nhất cũng tiếp nối một báo cáo gần đây khác từ Microsoft liên quan đến mã độc cryptojacking. Trong chiến dịch đó, kẻ tấn công được cho là đã sử dụng kết quả tìm kiếm bị đầu độc và thao túng các cuộc hội thoại chatbot AI để hướng người dùng đến các lượt tải phần mềm giả mạo. Sau khi được cài đặt, các chương trình độc hại tận dụng tài nguyên hệ thống để khai thác tiền mã hóa mà nạn nhân không hề hay biết.
Chuyên gia khuyến nghị xoay vòng thông tin xác thực và rà soát gói cài đặt
Các chuyên gia an ninh khuyến nghị nhà phát triển nên rà soát kỹ các gói mới được cài đặt, gỡ bỏ các phần phụ thuộc đáng ngờ, xoay vòng các thông tin xác thực có thể đã bị lộ và theo dõi hoạt động của ví để phát hiện các giao dịch trái phép. Người dùng crypto cũng được khuyên tránh lưu trữ cụm từ seed trên các thiết bị được kết nối internet và kiểm tra kỹ tất cả giao dịch ví trước khi chấp thuận.
Hỏi đáp
Microsoft phát hiện những gói npm độc hại nào?
Microsoft Threat Intelligence xác định hai gói npm bị xâm phạm: utils-terminal@3.2.1 và logger-active@3.2.1. Các gói này phân phối mã độc trojan truy cập từ xa có khả năng đánh cắp thao tác gõ phím, ảnh chụp màn hình, thông tin xác thực ví tiền mã hóa và các thông tin bí mật khác từ các hệ thống bị nhiễm.
Kẻ tấn công trích xuất dữ liệu bị đánh cắp từ hệ thống bị nhiễm bằng cách nào?
Kẻ tấn công sử dụng Hugging Face, một nền tảng phổ biến cho các dự án trí tuệ nhân tạo và học máy, như một phần trong quy trình trích xuất dữ liệu. Bằng cách chuyển dữ liệu bị đánh cắp qua một nền tảng đáng tin cậy, hoạt động độc hại có vẻ ít đáng ngờ hơn so với giao tiếp với các máy chủ điều khiển truyền thống, khiến việc phát hiện trở nên khó hơn đối với các nhóm an ninh.
Chuyên gia khuyến nghị biện pháp bảo mật nào cho nhà phát triển?
Các chuyên gia an ninh khuyến nghị nhà phát triển rà soát kỹ các gói mới được cài đặt, gỡ bỏ các phần phụ thuộc đáng ngờ, xoay vòng các thông tin xác thực có thể đã bị lộ và theo dõi hoạt động của ví để phát hiện các giao dịch trái phép. Người dùng crypto được khuyên tránh lưu trữ cụm từ seed trên các thiết bị được kết nối internet và kiểm tra kỹ tất cả giao dịch ví trước khi chấp thuận chúng.
