Cảnh báo: Các gói npm AsyncAPI bị chiếm quyền điều khiển để phát tán mã độc Botnet
Một chiến dịch tấn công chuỗi cung ứng tinh vi đã nhắm vào các gói npm thuộc namespace @asyncapi, cài cắm mã độc botnet đa giai đoạn thông qua quy trình CI/CD bị xâm...
Cộng đồng an ninh mạng vừa phát hiện một chiến dịch tấn công chuỗi cung ứng phần mềm nhắm trực tiếp vào các gói thư viện thuộc namespace @asyncapi trên npm. Theo báo cáo từ các đơn vị bảo mật như OX Security, SafeDep, Socket và StepSecurity, bốn gói npm đã bị kẻ tấn công chiếm quyền và cài cắm mã độc botnet đa giai đoạn.
Chi tiết các gói bị ảnh hưởng:
- @asyncapi/[email protected]
- @asyncapi/[email protected]
- @asyncapi/[email protected]
- @asyncapi/specs (v6.11.2, v6.11.2-alpha.1)
Khác với các phương thức truyền thống sử dụng các hook cài đặt (install hooks), mã độc này được thiết kế để kích hoạt ngay khi module bị nhiễm được require() trong quá trình chạy ứng dụng hoặc CI/CD. Sau khi khởi chạy, mã độc sẽ thiết lập một tiến trình ngầm để tải xuống payload giai đoạn hai từ IPFS.
Cơ chế tấn công tinh vi
Payload giai đoạn hai, được định danh là Miasma, là một framework điều khiển mạnh mẽ hỗ trợ tới sáu kênh liên lạc C2 khác nhau, bao gồm HTTP, Nostr relay, IPFS, BitTorrent DHT, libp2p và cả hợp đồng thông minh Ethereum. Mã độc này có khả năng thực hiện đánh cắp thông tin xác thực, di chuyển ngang (lateral movement) trong mạng nội bộ và duy trì sự tồn tại (persistence) thông qua các cơ chế như systemd, crontab hoặc Windows Registry.
Đáng chú ý, mã độc này tích hợp cơ chế “dead man’s switch” để tự hủy nếu token bị thu hồi, đồng thời có khả năng né tránh các môi trường sandbox, máy ảo hoặc các hệ thống có cài đặt sẵn các giải pháp bảo mật từ CrowdStrike, SentinelOne, Microsoft Defender, v.v.
Lỗ hổng từ quy trình CI/CD
Các chuyên gia nhấn mạnh rằng đây không phải là vụ việc đánh cắp token npm thông thường. Kẻ tấn công đã chiếm quyền truy cập vào kho lưu trữ và lợi dụng chính quy trình GitHub Actions của dự án để xuất bản các gói phần mềm. Điều này khiến các gói độc hại mang theo các chứng thực nguồn gốc (provenance attestations) hợp lệ, gây khó khăn cho việc phát hiện bằng các công cụ kiểm tra thông thường.
Hiện tại, tất cả các phiên bản độc hại đã bị gỡ bỏ khỏi registry npm. Tuy nhiên, các nhà phát triển và quản trị hệ thống được khuyến cáo nên kiểm tra kỹ các môi trường đã sử dụng các phiên bản gói nêu trên, vì bất kỳ hệ thống nào từng thực thi các module này đều có nguy cơ bị xâm nhập cao.
Nguồn tham khảo: The Hacker News



No Comment! Be the first one.