Nhóm hacker Triều Tiên phát tán 108 gói phần mềm độc hại trong chiến dịch PolinRider
Chiến dịch PolinRider đang nhắm mục tiêu vào các nhà phát triển phần mềm thông qua việc phát tán hàng loạt gói thư viện độc hại trên npm, Go và các tiện ích mở rộng trình...
Các nhóm hacker có liên hệ với Triều Tiên, vốn được biết đến qua chiến dịch Contagious Interview, vừa bị phát hiện đang triển khai một chiến dịch tấn công mới mang tên PolinRider. Theo các nhà nghiên cứu bảo mật tại Socket, nhóm này đã phát tán 108 gói phần mềm và tiện ích mở rộng độc hại trên nhiều nền tảng phổ biến như npm, Packagist, Go và Google Chrome.
Table Of Content
Phương thức tấn công tinh vi
Chiến dịch PolinRider không chỉ đơn thuần là phát tán mã độc mà còn nhắm vào việc chiếm quyền kiểm soát tài khoản của các nhà bảo trì (maintainer), sửa đổi các repository hợp lệ và chèn mã độc vào các phiên bản cập nhật. Tổng cộng có 162 tệp tin độc hại đã được ghi nhận, bao gồm 19 thư viện npm, 10 gói Composer, 61 module Go và một tiện ích mở rộng trên Chrome.
Kẻ tấn công thường đóng giả làm nhà tuyển dụng hoặc cộng tác viên trên các nền tảng như LinkedIn và GitHub để tiếp cận các nhà phát triển phần mềm, đặc biệt là những người làm việc trong lĩnh vực tiền điện tử. Bằng cách sử dụng các hồ sơ giả mạo được tạo bởi AI và các công ty bình phong, chúng lừa nạn nhân thực thi mã độc thông qua các bài kiểm tra kỹ năng hoặc phỏng vấn giả.
Kỹ thuật ẩn mình và thực thi mã độc
Một điểm đáng chú ý trong chiến dịch này là việc sử dụng các tệp cấu hình tác vụ của VS Code (VS Code task files). Khi người dùng mở thư mục dự án trong VS Code hoặc Cursor, tệp tin này sẽ tự động kích hoạt mã độc. Kẻ tấn công cũng thực hiện các kỹ thuật như:
- Chỉnh sửa lịch sử Git: Sử dụng các lệnh force push và thay đổi thời gian commit để làm cho các thay đổi độc hại trông có vẻ cũ và ít đáng ngờ hơn.
- Chèn mã JavaScript: Mã độc tự động tìm kiếm các tệp cấu hình như
postcss.config.mjs,tailwind.config.js,eslint.config.mjsvà chèn mã độc vào đó. - Tải payload giai đoạn hai: Mã độc kết nối với các hạ tầng blockchain (TRON, Aptos, BNB Smart Chain) để tải về các công cụ độc hại như DEV#POPPER RAT và OmniStealer.
Khuyến nghị bảo mật
Các chuyên gia cảnh báo rằng lịch sử commit trên GitHub không còn là chỉ dấu tin cậy để xác định tính an toàn của repository. Người dùng và các đội ngũ bảo mật cần:
- Kiểm tra kỹ các tệp cấu hình như
.vscode/tasks.json,vite.config.jsvàeslint.config.jsđể tìm kiếm các đoạn mã lạ. - Nếu nghi ngờ đã cài đặt các gói độc hại, cần coi toàn bộ môi trường làm việc đã bị xâm nhập, thực hiện xoay vòng (rotate) các thông tin xác thực (secrets) từ một máy tính sạch.
- Gỡ bỏ các phiên bản gói bị ảnh hưởng và xây dựng lại dự án từ các tệp
lockfilean toàn đã được kiểm chứng.
Nguồn tham khảo: The Hacker News


No Comment! Be the first one.