Cảnh báo: Các gói npm giả mạo công cụ Rollup đang được tin tặc Triều Tiên sử dụng để đánh cắp dữ liệu
Các nhóm tin tặc liên quan đến Triều Tiên đang phát tán các gói npm độc hại giả mạo công cụ Rollup nhằm chiếm quyền điều khiển từ xa và đánh cắp thông tin nhạy cảm từ máy tính lập trình...
Các chuyên gia an ninh mạng từ JFrog vừa phát hiện một chiến dịch tấn công chuỗi cung ứng phần mềm tinh vi, trong đó các đối tượng đe dọa liên quan đến Triều Tiên đã phát tán hàng loạt gói npm độc hại. Các gói này được thiết kế để giả mạo công cụ Rollup polyfill nhằm thực hiện hành vi đánh cắp dữ liệu và thiết lập quyền truy cập từ xa vào máy trạm của lập trình viên.
Phương thức hoạt động của mã độc
Theo báo cáo, các gói như rollup-packages-polyfill-core và rollup-runtime-polyfill-core được tạo ra với tên gọi, mô tả và metadata rất giống với dự án hợp pháp rollup-plugin-polyfill-node. Sự tương đồng này khiến các lập trình viên dễ dàng mất cảnh giác trong quá trình kiểm tra dependency.
Chiến dịch này sử dụng cấu trúc đa tầng. Khi được cài đặt, các gói này sẽ tự động kích hoạt các gói phụ (second-stage) như swift-parse-stream hoặc quirky-token. Các thành phần này thực chất là những tiện ích giả mạo, có nhiệm vụ tải về các đoạn mã JavaScript độc hại từ dịch vụ JSONKeeper để thực thi.
Khả năng tấn công nguy hiểm
Sau khi vượt qua các bước kiểm tra môi trường để tránh bị phát hiện trong các sandbox hoặc hệ thống phân tích, mã độc sẽ kết nối với server điều khiển để tải về các payload đã được mã hóa. Các tính năng của mã độc này bao gồm:
- Thiết lập phiên terminal tương tác để thực thi lệnh từ xa.
- Chụp ảnh màn hình và ghi lại thao tác bàn phím, chuột.
- Đánh cắp dữ liệu từ trình duyệt web và ví tiền điện tử.
- Thu thập thông tin từ các công cụ phát triển như VS Code, Windsurf, Cursor, cùng các cấu hình của AWS, Azure, Google Gemini, Anthropic Claude và SSH keys.
Các chuyên gia nhấn mạnh rằng, việc tấn công vào các plugin Rollup là một nước đi có tính toán, bởi chúng thường được tải từ các cấu hình cục bộ trên máy trạm của lập trình viên hoặc trong các quy trình CI/CD, nơi chứa nhiều thông tin nhạy cảm như npm tokens, Git credentials và các cloud keys.
Khuyến nghị an toàn
Bên cạnh chiến dịch này, nhiều cuộc tấn công khác nhắm vào các kho lưu trữ mã nguồn mở (như PyPI và npm) cũng đang gia tăng với các thủ đoạn như typosquatting hoặc chèn mã độc vào các thư viện phổ biến. Để bảo vệ hệ thống, người dùng cần:
- Gỡ bỏ ngay lập tức các gói nghi vấn khỏi máy trạm và môi trường phát triển.
- Giả định rằng hệ thống đã bị xâm nhập, thực hiện xoay vòng (rotate) toàn bộ các credentials, API keys và SSH keys.
- Thiết lập các quy trình quét dependency tự động trong pipeline CI/CD để phát hiện sớm các gói mới hoặc có dấu hiệu bất thường.
- Chặn các kênh kết nối ra ngoài (egress channels) không xác định từ môi trường phát triển.
Nguồn tham khảo: The Hacker News



No Comment! Be the first one.