Microsoft khôi phục một số kho lưu trữ GitHub sau sự cố tấn công chuỗi cung ứng Miasma
Microsoft đã tạm thời gỡ bỏ hàng chục dự án mã nguồn mở trên GitHub sau khi phát hiện các gói phần mềm này bị chèn mã độc đánh cắp thông tin trong chiến dịch tấn công chuỗi cung ứng mang tên...
Microsoft vừa xác nhận đã tạm thời gỡ bỏ một số kho lưu trữ (repository) trên GitHub sau khi phát hiện 73 dự án mã nguồn mở của hãng bị xâm nhập. Kẻ tấn công đã lợi dụng các dự án này để chèn mã độc (malware) nhằm đánh cắp thông tin từ người dùng.
Đại diện Microsoft cho biết ưu tiên hàng đầu hiện nay là bảo vệ khách hàng và hệ sinh thái phần mềm. Một số repository đã được khôi phục sau khi kiểm tra kỹ lưỡng, trong khi những dự án khác vẫn đang bị tạm khóa để phục vụ công tác điều tra. Hãng cũng đã thông báo trực tiếp tới những khách hàng có khả năng đã tải xuống nội dung từ các dự án bị ảnh hưởng.
Sự cố này là một phần của chiến dịch tấn công chuỗi cung ứng phần mềm quy mô lớn có tên mã Miasma. Các nhà nghiên cứu bảo mật cho biết chiến dịch này không chỉ nhắm vào các gói phần mềm đơn lẻ mà là một nỗ lực tấn công liên tục, nhắm vào nhiều thư viện mã nguồn mở phổ biến, bao gồm cả các gói liên quan đến trí tuệ nhân tạo (AI) và các công cụ phát triển phần mềm.
Đáng chú ý, các biến thể mã độc mới trong chiến dịch Miasma đã thay đổi phương thức hoạt động để tránh bị phát hiện. Thay vì sử dụng các tệp thực thi đơn giản, kẻ tấn công đã sử dụng các kỹ thuật tinh vi hơn như:
- Sử dụng các tệp mở rộng
.abi3.sođã bị chèn mã độc (trojanized) để kích hoạt mã đánh cắp thông tin khi gói phần mềm được import. - Tách biệt trình tải (loader) và mã độc JavaScript, giúp mã nguồn trông có vẻ an toàn hơn khi thực hiện phân tích tĩnh (static analysis).
- Sử dụng kỹ thuật chèn prompt (prompt injection) trong các khối chú thích JavaScript để đánh lừa các công cụ quét bảo mật dựa trên AI và các trợ lý lập trình (copilot).
Khi được thực thi trên máy trạm của lập trình viên hoặc trong môi trường CI/CD, mã độc này sẽ quét và đánh cắp các thông tin nhạy cảm (secrets), sau đó gửi về các kho lưu trữ công khai trên GitHub của kẻ tấn công.
Các chuyên gia cảnh báo rằng đây là một chiến dịch tấn công diễn biến rất nhanh, với các nhóm tội phạm mạng liên tục thử nghiệm những phương thức mới để vượt qua các lớp bảo mật. Các dự án bị ảnh hưởng bao gồm nhiều thư viện về AI, học máy và các gói giả mạo (typosquatting) như rsquests, tlask, hay langchain-core-mcp.
Người dùng và các nhà phát triển được khuyến cáo nên kiểm tra kỹ các gói phần mềm đang sử dụng, đặc biệt là các thư viện liên quan đến AI và các công cụ tự động hóa, đồng thời giám sát chặt chẽ các thay đổi trong môi trường phát triển để phát hiện sớm các dấu hiệu bất thường.
Nguồn tham khảo: The Hacker News
No Comment! Be the first one.