Cảnh báo: Chiến dịch tấn công chuỗi cung ứng Miasma lan rộng sang hệ sinh thái npm và Go
Các nhà nghiên cứu bảo mật vừa phát hiện biến thể mới của mã độc Miasma, nhắm mục tiêu vào các gói npm và module Go thông qua việc chiếm đoạt tài khoản nhà phát triển và lạm dụng GitHub...
Các chuyên gia an ninh mạng vừa ghi nhận sự tiến hóa mới của chiến dịch tấn công chuỗi cung ứng liên quan đến họ mã độc Mini Shai-Hulud, Miasma và Hades. Không chỉ dừng lại ở các gói npm, mã độc này hiện đã bắt đầu lây lan sang hệ sinh thái Go, gây ra rủi ro lớn cho các nhà phát triển và hệ thống CI/CD.
Table Of Content
Phương thức tấn công tinh vi
Theo phân tích từ Socket, kẻ tấn công đã chiếm quyền kiểm soát tài khoản của nhà phát triển (đáng chú ý là tài khoản ‘czirker’ liên quan đến LeoPlatform) thông qua thông tin đăng nhập bị rò rỉ. Từ đó, chúng sử dụng token hợp lệ để đẩy các phiên bản chứa mã độc lên registry chỉ trong vòng vài giây.
Mã độc này sử dụng tệp binding.gyp để thực thi mã tùy ý ngay trong quá trình cài đặt gói npm. Sau đó, nó tải xuống runtime Bun và khởi chạy một trình tải JavaScript để thu thập thông tin nhạy cảm, bao gồm thông tin đăng nhập, token và các bí mật trong bộ nhớ của runner GitHub Actions.
Mở rộng phạm vi sang hệ sinh thái Go
Điểm đáng chú ý trong đợt tấn công này là sự xuất hiện của mã độc trong dự án Verana Blockchain (Go). Khác với npm, cuộc tấn công này không dựa vào tệp cấu hình cài đặt mà nhắm vào việc thực thi mã từ kho lưu trữ nguồn. Khi nhà phát triển sao chép hoặc mở dự án trong các IDE hoặc công cụ hỗ trợ lập trình AI, mã độc có thể tự kích hoạt thông qua cấu hình dự án.
Các mục tiêu bị ảnh hưởng
Chiến dịch này nhắm vào nhiều gói phổ biến trong hệ sinh thái LeoPlatform và RStreams, bao gồm:
- Các gói thuộc nhóm
leo-*(leo-auth, leo-aws, leo-sdk, leo-streams, v.v.) hexo-deployer-wrangler,hexo-shoka-swiperprism-silq,rstreams-metrics,serverless-leogithub.com/verana-labs/verana-blockchain
Dấu hiệu nhận biết và tác động
Mã độc có cơ chế kiểm tra phần mềm bảo mật trên endpoint và sử dụng các kỹ thuật như ‘dead-drop’ trên GitHub để nhận lệnh điều khiển. Một điểm nhận diện mới là chuỗi ký tự RevokeAndItGoesKaboom được sử dụng trong các tệp tin liên quan. Ngoài ra, việc lạm dụng GitHub Actions để đánh cắp token OIDC và Personal Access Token cho thấy kẻ tấn công đang cố gắng duy trì sự hiện diện lâu dài trong các quy trình phát triển phần mềm.
Các chuyên gia cảnh báo rằng việc thỏa hiệp các gói này có thể làm lộ thông tin từ máy trạm của nhà phát triển, hệ thống CI/CD, các ứng dụng trên AWS và toàn bộ chuỗi cung ứng phần mềm hạ nguồn. Người dùng được khuyến cáo kiểm tra kỹ các dependency và hạn chế cấp quyền truy cập quá mức cho các workflow tự động.
Nguồn tham khảo: The Hacker News
No Comment! Be the first one.