Cảnh báo: 148 gói npm giả mạo biến trình duyệt học sinh thành mạng botnet DDoS
Các nhà nghiên cứu từ JFrog vừa phát hiện 148 gói npm độc hại ngụy trang dưới dạng proxy học đường, âm thầm biến trình duyệt của người dùng thành công cụ tấn công DDoS mà không cần thực thi mã trong...
Một chiến dịch tấn công tinh vi trên kho lưu trữ npm đã bị các nhà nghiên cứu tại JFrog phanh phui. Cụ thể, 148 gói npm được ngụy trang dưới dạng các ứng dụng proxy web dành cho học sinh đã bị lợi dụng để biến trình duyệt của người dùng thành một mạng botnet phục vụ tấn công DDoS trong suốt tháng 5 vừa qua.
Table Of Content
Phương thức hoạt động: Không cần cài đặt, chỉ cần truy cập
Điểm khác biệt của chiến dịch này so với các cuộc tấn công chuỗi cung ứng thông thường là nó không nhắm vào các nhà phát triển (developer) thông qua quá trình cài đặt gói (install-time). Thay vào đó, kẻ tấn công sử dụng npm làm nền tảng lưu trữ miễn phí cho các trang web proxy giả danh dịch vụ gia sư (như Riverbend Tutoring hay Northstar Tutoring). Khi học sinh truy cập các trang này để vượt tường lửa trường học, trình duyệt của họ vô tình trở thành “nô lệ” cho mạng botnet.
Các gói này không chứa mã độc thực thi khi cài đặt (không có lifecycle hooks hay build scripts). Thay vào đó, mã độc nằm trong giao diện web, bao gồm:
- G2 (Remote Script Loader): Một trình tải mã từ xa không an toàn, cho phép kẻ tấn công thay đổi payload bất cứ lúc nào mà không cần cập nhật gói.
- I2 (WebSocket Flood): Một module sử dụng giao thức Wisp để thực hiện các cuộc tấn công flood vào các máy chủ mục tiêu, bao gồm cả các trang web trường học và các máy chủ proxy khác.
Kỹ thuật tấn công tinh vi
Theo phân tích của JFrog, kẻ tấn công đã sử dụng các kỹ thuật xáo trộn mã (obfuscation) cực kỳ phức tạp. Từ một tệp JavaScript đơn dòng 5,4 MB, chúng đã giải nén thành hơn 20.600 dòng mã. Các cuộc tấn công được thực hiện thông qua việc gửi hàng loạt yêu cầu HTTP hoặc các frame Wisp liên tục, gây quá tải tài nguyên máy chủ mục tiêu và làm cạn kiệt bộ nhớ log.
Dù các module tấn công DDoS đã bị tạm thời vô hiệu hóa sau khi bị báo cáo, cấu trúc của mã độc vẫn cho phép kẻ tấn công “tái kích hoạt” chỉ bằng một thay đổi nhỏ trên GitHub mà không cần người dùng cập nhật lại gói.
Khuyến nghị bảo mật
Dù đây không phải là hình thức tấn công vào pipeline phát triển phần mềm truyền thống, các quản trị viên mạng trường học và doanh nghiệp cần lưu ý:
- Chặn tên miền: Cần chặn các tên miền liên quan đến chiến dịch này ở cấp độ DNS (như woofbeginner[.]com, c.vipersfutbol[.]com).
- Vệ sinh trình duyệt: Người dùng từng truy cập các trang web này cần xóa cache, local storage và gỡ bỏ các service worker lạ.
- Kiểm tra dependency: Các đội ngũ phát triển nên rà soát lại danh sách dependency trong dự án, loại bỏ các gói nghi vấn và thực hiện rebuild sạch môi trường phát triển.
Sự việc này một lần nữa gióng lên hồi chuông cảnh báo về việc lạm dụng các kho lưu trữ mã nguồn công cộng làm CDN miễn phí cho các mục đích độc hại, vượt ra ngoài phạm vi kiểm soát của các công cụ quét dependency truyền thống.
Nguồn tham khảo: The Hacker News



No Comment! Be the first one.