An ninh mạng

Cảnh báo: Gói NuGet độc hại giả mạo Sicoob đánh cắp thông tin ngân hàng

Các nhà nghiên cứu bảo mật vừa phát hiện một gói NuGet giả mạo SDK của ngân hàng Sicoob nhằm đánh cắp chứng chỉ PFX và thông tin nhạy cảm, cùng hàng loạt gói npm độc hại khác đang nhắm vào dữ liệu...

Nguyen Hung
1 Tháng 6, 2026 2 Min Read
4 0

Các chuyên gia an ninh mạng vừa phát hiện một gói NuGet độc hại có tên “Sicoob.Sdk”, được thiết kế để giả mạo bộ công cụ phát triển phần mềm (SDK) chính thức của Sicoob – một trong những hệ thống tài chính hợp tác lớn nhất tại Brazil. Mục tiêu chính của mã độc này là đánh cắp ID khách hàng và các chứng chỉ PFX nhạy cảm.

Table Of Content

Phương thức hoạt động của mã độc

Theo báo cáo từ Socket, các phiên bản từ 2.0.0 đến 2.0.4 của gói này chứa mã độc có khả năng thu thập dữ liệu trái phép. Khi lập trình viên khởi tạo SicoobClient, gói này sẽ tự động đọc tệp PFX từ ổ đĩa, mã hóa Base64 và gửi dữ liệu bao gồm ID khách hàng, mật khẩu PFX và nội dung chứng chỉ đến một endpoint Sentry của bên thứ ba.

Ngoài ra, mã độc còn có khả năng thu thập phản hồi từ Boleto API, qua đó làm lộ các thông tin giao dịch quan trọng như trạng thái thanh toán, số tiền, ngày đến hạn và dữ liệu cá nhân của người nộp/người nhận. Đáng chú ý, gói này thậm chí còn được Google Search AI Mode đề xuất như một thư viện hợp lệ, khiến các lập trình viên dễ dàng tin tưởng và tải về.

Rủi ro từ các cuộc tấn công chuỗi cung ứng

Kẻ tấn công đã sử dụng thủ đoạn “tạo dựng sự tin tưởng” (manufactured legitimacy) bằng cách tạo ra một kho lưu trữ GitHub trông có vẻ sạch sẽ, nhưng lại chèn mã độc vào tệp tin được phân phối trên NuGet. Hiện tại, gói này đã bị chặn, nhưng các tổ chức đã cài đặt nó được khuyến cáo:

  • Gỡ bỏ ngay lập tức gói “Sicoob.Sdk”.
  • Coi các chứng chỉ PFX đã sử dụng là tài sản bị xâm phạm, cần thay thế chứng chỉ và đổi mật khẩu mới.
  • Vô hiệu hóa hoặc thay đổi các ID khách hàng bị ảnh hưởng.
  • Kiểm tra nhật ký API và xác thực để tìm dấu hiệu bất thường.

Làn sóng tấn công npm mở rộng

Song song với vụ việc trên, 14 gói npm độc hại khác cũng bị phát hiện với mục tiêu đánh cắp thông tin xác thực AWS, HashiCorp Vault, token npm và các bí mật CI/CD. Các gói này sử dụng kỹ thuật typosquatting (đặt tên gần giống các thư viện phổ biến như OpenSearch, ElasticSearch) để lừa người dùng.

Các chuyên gia cảnh báo rằng các nhóm tấn công hiện nay đã vượt xa các kỹ thuật typosquatting truyền thống. Chúng tập trung vào việc tạo ra các gói có tên gọi hợp lý, phục vụ các quy trình làm việc thực tế của lập trình viên để dễ dàng thâm nhập vào các đường ống CI/CD và hệ thống đám mây của doanh nghiệp.

Nguồn tham khảo: The Hacker News

Share Article

Nguyen Hung

No Comment! Be the first one.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Related Posts

Our site uses cookies. By using this site, you agree to the Privacy Policy and Terms of Use.

Accept