Cảnh báo: 7 gói npm độc hại giả mạo Vite sử dụng Blockchain làm C2 để phát tán RAT
Các nhà nghiên cứu bảo mật vừa phát hiện một chiến dịch tấn công chuỗi cung ứng phần mềm mới mang tên 'ViteVenom', sử dụng hạ tầng blockchain để điều khiển mã độc...
Các chuyên gia bảo mật tại Checkmarx vừa đưa ra cảnh báo về một chiến dịch tấn công chuỗi cung ứng phần mềm (software supply chain attack) nhắm trực tiếp vào hệ sinh thái công cụ frontend Vite. Chiến dịch này, được đặt tên là ViteVenom, đã phát tán 7 gói npm độc hại nhằm chiếm quyền điều khiển máy tính của nhà phát triển.
Phương thức tấn công tinh vi
ViteVenom là sự mở rộng của chiến dịch ChainVeil trước đó. Điểm đáng chú ý nhất là việc kẻ tấn công sử dụng hạ tầng command-and-control (C2) dựa trên blockchain (bao gồm Tron, Aptos và Binance Smart Chain) để phát tán Remote Access Trojan (RAT). Việc tận dụng blockchain khiến cho việc vô hiệu hóa hạ tầng C2 trở nên cực kỳ khó khăn đối với các cơ quan chức năng.
Thay vì thực thi mã độc ngay khi cài đặt, các gói này kích hoạt payload tại thời điểm import, giúp chúng dễ dàng vượt qua các cơ chế kiểm tra bảo mật thông thường trên endpoint. Mã độc hoạt động như một trình tải (loader), truy vấn blockchain để lấy địa chỉ payload tiếp theo, giải mã bằng khóa được mã hóa cứng (hard-coded) và thực thi các hành vi độc hại như đánh cắp thông tin xác thực, trích xuất tệp tin và cài đặt backdoor.
Danh sách các gói npm cần tránh
Kẻ tấn công đã cố tình sử dụng các tên gói có phạm vi (scoped package names) để giả mạo namespace @vitejs/* nhằm tạo sự tin tưởng. Dưới đây là danh sách các gói đã được xác định:
- @uw010010/vite-tree
- @vite-tab/tab
- @vite-ln/build-ts
- @vite-mcp/vite-type
- @vite-pro/vite-ui
- @vitets/vite-ts
- @vite-ts/vite-ui
Khuyến nghị bảo mật
Nếu bạn đã cài đặt bất kỳ gói nào trong danh sách trên, hãy thực hiện ngay các bước sau:
- Gỡ bỏ hoàn toàn các gói độc hại khỏi dự án.
- Kiểm tra lại toàn bộ các dependency trong dự án.
- Thay đổi toàn bộ thông tin xác thực (credentials) đã lưu trên máy.
- Kiểm tra các tệp cấu hình shell như
.bashrc,.zshrcvà.profileđể phát hiện các thay đổi trái phép hoặc các backdoor tiềm ẩn.
Các nhà nghiên cứu cho biết, việc phân mảnh các gói và tài khoản duy trì là cách kẻ tấn công che giấu dấu vết, do đó cộng đồng lập trình viên cần hết sức cảnh giác khi cài đặt các thư viện mới từ npm, đặc biệt là các gói có tên gọi gần giống với các thư viện phổ biến.
Nguồn tham khảo: The Hacker News


No Comment! Be the first one.