Cảnh báo: Tấn công chuỗi cung ứng trên Packagist phát tán malware Linux qua GitHub

Một chiến dịch tấn công chuỗi cung ứng có tổ chức vừa được phát hiện nhắm vào 8 gói phần mềm trên Packagist. Điểm đáng chú ý của đợt tấn công này là việc kẻ xấu sử dụng mã độc được thiết kế để tải về và thực thi một binary Linux từ GitHub.

Theo phân tích từ các chuyên gia bảo mật tại Socket, dù các gói bị ảnh hưởng đều là gói Composer, nhưng mã độc không nằm trong file composer.json như thường lệ. Thay vào đó, chúng được chèn vào package.json. Kỹ thuật “cross-ecosystem placement” này giúp kẻ tấn công qua mặt các đội ngũ bảo mật vốn chỉ tập trung quét các metadata liên quan đến Composer mà bỏ qua các lifecycle hook của JavaScript.

Cơ chế tấn công:

Kẻ tấn công đã sửa đổi các repository gốc để thêm vào một script postinstall. Script này thực hiện các bước sau:

• Tải một binary Linux từ một URL trên GitHub Releases.
• Lưu file vào thư mục /tmp/.sshd.
• Sử dụng lệnh chmod để cấp quyền thực thi cho tất cả người dùng.
• Chạy binary này trong nền.

Các gói bị ảnh hưởng bao gồm: moritz-sauer-13/silverstripe-cms-theme, crosiersource/crosierlib-base, devdojo/wave, devdojo/genesis, katanaui/katana, elitedevsquad/sidecar-laravel, r2luna/brain và baskarcm/tzi-chat-ui.

Phạm vi ảnh hưởng rộng hơn

Điều tra cho thấy payload tương tự đã xuất hiện trong 777 file trên GitHub, cho thấy đây có thể là một chiến dịch quy mô lớn. Trong một số trường hợp, mã độc còn được tích hợp trực tiếp vào các GitHub Actions workflow để thực thi trong quá trình CI/CD. Mặc dù tài khoản GitHub chứa binary độc hại đã bị gỡ bỏ, nhưng bản thân trình cài đặt (installer) đã đủ nguy hiểm vì nó có khả năng thực thi mã từ xa (RCE), vô hiệu hóa xác thực TLS và che giấu hoạt động bằng cách chạy ngầm.

Các chuyên gia khuyến cáo các nhà phát triển cần kiểm tra kỹ các file cấu hình trong dự án, đặc biệt là các script tự động chạy trong quá trình cài đặt hoặc build, để đảm bảo không có các lệnh bất thường được chèn vào.

Nguồn tham khảo: The Hacker News