Các chuyên gia An ninh mạng vừa đưa ra cảnh báo khẩn cấp về một làn sóng tấn công mới, nhắm vào chuỗi cung ứng phần mềm. Điều này có nghĩa là kẻ xấu đang giấu mã độc cực kỳ nguy hiểm vào bên trong các gói mã nguồn mở (thư viện, mô-đun) mà các lập trình viên thường sử dụng để xây dựng phần mềm và ứng dụng.

* Nguy cơ 1: Mã độc Go có thể xóa sạch ổ cứng máy chủ Linux

Các nhà nghiên cứu đã phát hiện ra ba gói mã độc được viết bằng ngôn ngữ lập trình Go, mang các tên trông có vẻ bình thường như:

- github[.]com/truthfulpharm/prototransform

- github[.]com/blankloggia/go-mcp

- github[.]com/steelpoor/tlsproxy

Tuy nhiên, bên trong chúng là mã độc được giấu rất kỹ. Các gói này được thiết kế để kiểm tra xem chúng có đang chạy trên hệ thống Linux hay không. Nếu có, chúng sẽ tải về một đoạn mã phá hoại từ Internet. Đoạn mã này sẽ thực hiện một hành động cực kỳ tàn khốc: ghi đè toàn bộ ổ cứng chính (thường là /dev/sda) bằng số không.

Điều này đồng nghĩa với việc toàn bộ dữ liệu trên ổ cứng sẽ bị xóa vĩnh viễn và không thể phục hồi. Hệ thống Linux đó sẽ không thể khởi động lại được nữa. Đây là một hình thức tấn công phá hoại cực đoan, gây tê liệt hoàn toàn máy chủ hoặc môi trường làm việc của nhà phát triển.

* Nguy cơ 2: Mã độc đánh cắp tiền mã hóa trong npm và PyPI

Không chỉ có Go, các kho chứa gói mã nguồn mở phổ biến khác như npm (cho JavaScript) và PyPI (cho Python) cũng đang bị lạm dụng để phát tán mã độc nhắm vào ví tiền mã hóa.

Các gói mã độc này (với các tên như crypto-encrypt-ts, react-native-scrollpageviewtest, web3x, herewalletbot, v.v.) chứa mã được thiết kế để đánh cắp "cụm từ khôi phục" (seed phrase) và khóa riêng của ví tiền mã hóa mà người dùng hoặc lập trình viên có thể lưu trữ trên máy tính. Nếu chúng thành công, kẻ tấn công có thể rút toàn bộ tiền trong ví của nạn nhân.

* Nguy cơ 3: Mã độc PyPI lợi dụng Gmail để đánh cắp dữ liệu bí mật

Một nhóm khác gồm bảy gói mã độc PyPI (với các tên như cfc-bsb, coffin2022, coffin-codes-2022, v.v.) còn sử dụng một chiêu trò rất tinh vi. Chúng lợi dụng máy chủ gửi email (SMTP) và kết nối thời gian thực (WebSockets) của Gmail để báo hiệu tấn công thành công: Sử dụng tài khoản Gmail được nhúng sẵn để gửi email thông báo cho kẻ tấn công khi một hệ thống bị nhiễm. Thiết lập kênh liên lạc bí mật: Sử dụng WebSockets để tạo một kênh "nói chuyện" hai chiều với kẻ tấn công, cho phép chúng lấy cắp dữ liệu và thực thi lệnh từ xa trên máy tính bị nhiễm. Việc sử dụng dịch vụ hợp pháp như Gmail khiến các hoạt động độc hại này rất khó bị phát hiện bởi tường lửa công ty hoặc các phần mềm bảo mật thông thường, bởi vì lưu lượng truy cập trông có vẻ "đáng tin cậy".

* Bạn cần làm gì để tự bảo vệ?

Đối với cả nhà phát triển và người dùng sử dụng các ứng dụng được xây dựng từ mã nguồn mở, đây là những bước quan trọng cần thực hiện:

FKiểm tra nguồn gốc gói: Khi sử dụng bất kỳ gói mã nguồn mở nào, hãy cố gắng xác minh tính xác thực của nó. Kiểm tra kỹ thông tin tác giả, lịch sử hoạt động của họ, và xem liệu gói đó có liên kết đến một kho mã nguồn uy tín như GitHub hay không.

FXem xét kỹ các thành phần phụ thuộc: Phần mềm thường sử dụng rất nhiều gói nhỏ khác. Hãy kiểm tra không chỉ gói chính mà cả các gói phụ thuộc mà nó cần.

FBảo vệ chặt chẽ các "chìa khóa" quan trọng: Đối với nhà phát triển, hãy thực thi các biện pháp kiểm soát truy cập nghiêm ngặt đối với các khóa riêng tư, khóa API hoặc thông tin xác thực nhạy cảm khác.

FTheo dõi lưu lượng mạng bất thường: Đối với quản trị viên hệ thống hoặc người dùng nâng cao, hãy chú ý đến các kết nối mạng bất thường đi ra từ máy tính hoặc máy chủ của mình, đặc biệt là lưu lượng gửi email (SMTP) đến các địa chỉ lạ, ngay cả khi chúng là dịch vụ hợp pháp như Gmail.

FKhông nên tin tưởng tuyệt đối: Một gói mã nguồn mở đã tồn tại lâu chưa chắc đã an toàn. Kẻ tấn công có thể âm thầm chèn mã độc vào các phiên bản cập nhật hoặc chiếm quyền kiểm soát tài khoản của người duy trì gói đó.

* Các cuộc tấn công chuỗi cung ứng phần mềm đang là một mối đe dọa ngày càng lớn. Việc nâng cao nhận thức và áp dụng các biện pháp phòng ngừa cẩn thận là điều cần thiết để bảo vệ dữ liệu và tài sản của bạn trong thế giới số.