Hiện nay, việc mã nguồn mở đã mang lại nhiều lợi ích to lớn trong phát triển phần mềm, trong đó GitHub là một nền tảng tiêu biểu. Tuy nhiên, tính chất “mở” này cũng đồng thời tạo điều kiện cho các hành vi tấn công ác ý. Trong những năm gần đây, một phương thức tấn công nguy hiểm và âm thầm – tấn công nhiễm độc mã – đã trở thành mối đe dọa đối với cả nhà phát triển lẫn người dùng. Kẻ tấn công thường chèn mã độc vào các dự án hoặc kho mã nguồn mở, khiến các nhà phát triển vô tình tích hợp mã độc này vào quy trình phát triển phần mềm, dẫn đến việc người dùng cuối cũng đối mặt với các rủi ro bảo mật.
Kẻ tấn công lợi dụng tính mở của các nền tảng như GitHub, ngụy trang mã độc thành công cụ thông thường để dụ dỗ nhà phát triển tải về và sử dụng. Một khi môi trường phát triển bị nhiễm độc, các lỗ hổng bảo mật sẽ lây lan theo chuỗi phát triển phần mềm, cuối cùng ảnh hưởng đến mọi người dùng.
Các công cụ và thư viện mà nhà phát triển sử dụng có thể lan rộng qua chuỗi cung ứng phần mềm, từ đó ảnh hưởng đến nhiều ứng dụng. Ví dụ:
• Một thư viện mã nguồn mở bị chèn mã độc có thể được tích hợp vào nhiều dự án phần mềm khác nhau.
• Các phần mềm này khi được phát hành hoặc cập nhật sẽ truyền mã độc đến thiết bị của người dùng.
Rủi ro tiềm tàng
• Rò rỉ dữ liệu cá nhân: Mã độc có thể đánh cắp thông tin như tài khoản, mật khẩu hoặc cookie trình duyệt.
• Kiểm soát từ xa: Kẻ tấn công có thể điều khiển thiết bị từ xa.
• Thiệt hại kinh tế: Thông tin bị đánh cắp có thể được sử dụng để lừa đảo hoặc tống tiền.
• Mã hóa dữ liệu đòi tiền chuộc: Thiết bị bị làm chậm, thường xuyên gặp lỗi hoặc dữ liệu bị mã hóa nhằm mục đích tống tiền.
Kiểm tra một vàitrên GitHub , mã độc này được xây dựng bằng nhiều ngôn ngữ lập trình khác nhau (bao gồm JavaScript, VBS, PowerShell, C#, và C++) để tạo thành một chuỗi quy trình phức tạp, cuối cùng kích hoạt chức năng của một phần mềm gián điệp hoặc mã độc backdoor.
Mã độc được phát hiện sử dụng nhiều ngôn ngữ lập trình như JavaScript, VBS, PowerShell, C#, C++ để xây dựng chuỗi hành vi độc hại. Quy trình tấn công của mã độc này bao gồm các bước phức tạp nhằm đạt được mục tiêu xâm nhập và khai thác thông tin. Đầu tiên, tin tặc sử dụng cơ chế PreBuildEvent của Visual Studio để thực thi lệnh độc hại. Sau đó, chúng tải về và giải nén các tệp độc hại từ GitHub, bao gồm SearchFilter.7z chứa mã độc nền tảng Electron và BitDefender.7z (Có vẻ như được nhà phát triển này đăng tải để nghiên cứu, trong các gói công cụ này đều đặt mã mật khẩu khi giải nén.)chứa công cụ Lumma Stealer cùng các backdoor. Tiếp theo, mã độc được chèn vào các quy trình hợp pháp như RegAsm.exe hoặc DWWIN.exe để tránh bị phát hiện, đồng thời tải thêm các module độc hại như RAT (Remote Access Tools) gồm AsyncRAT, Quasar, Remcos, và các công cụ đánh cắp thông tin nhạy cảm.
Về công cụ tấn công và kỹ thuật né tránh, mã độc áp dụng nhiều biện pháp tinh vi. Cụ thể, mã độc kiểm tra phiên bản hệ điều hành, số lõi CPU và các công cụ phân tích như Wireshark, Process Explorer, Fiddler để vô hiệu hóa các công cụ này, từ đó chống phân tích môi trường. Ngoài ra, mã độc sử dụng giải mã AES để chèn mã độc vào các tiến trình hợp pháp, đồng thời lợi dụng GitHub như một nền tảng hợp pháp để lưu trữ và phát tán mã độc, khiến việc phát hiện và ngăn chặn trở nên khó khăn hơn.
Một phần quan trọng của chiến dịch tấn công là công cụ Lumma Stealer, được thiết kế để đánh cắp nhiều loại dữ liệu từ thiết bị của nạn nhân. Công cụ này thu thập cookie và thông tin đăng nhập từ các nền tảng phổ biến như Reddit, Instagram, TikTok, Netflix, Discord, và Telegram. Ngoài ra, nó còn đánh cắp thông tin tài khoản trò chơi từ Epic Games, Riot Games, Steam, cùng các dữ liệu nhạy cảm khác như cấu hình VPN và cơ sở dữ liệu SQLite.
Trước những nguy cơ này, người dùng được khuyến nghị thường xuyên cập nhật cơ sở dữ liệu virus, kiểm tra kỹ mã nguồn trước khi sử dụng trong các dự án, và sử dụng phần mềm bảo mật đáng tin cậy để bảo vệ hệ thống khỏi các cuộc tấn công tiềm ẩn.

Kẻ tấn công lợi dụng tính mở của các nền tảng như GitHub, ngụy trang mã độc thành công cụ thông thường để dụ dỗ nhà phát triển tải về và sử dụng. Một khi môi trường phát triển bị nhiễm độc, các lỗ hổng bảo mật sẽ lây lan theo chuỗi phát triển phần mềm, cuối cùng ảnh hưởng đến mọi người dùng.
Các công cụ và thư viện mà nhà phát triển sử dụng có thể lan rộng qua chuỗi cung ứng phần mềm, từ đó ảnh hưởng đến nhiều ứng dụng. Ví dụ:
• Một thư viện mã nguồn mở bị chèn mã độc có thể được tích hợp vào nhiều dự án phần mềm khác nhau.
• Các phần mềm này khi được phát hành hoặc cập nhật sẽ truyền mã độc đến thiết bị của người dùng.
Rủi ro tiềm tàng
• Rò rỉ dữ liệu cá nhân: Mã độc có thể đánh cắp thông tin như tài khoản, mật khẩu hoặc cookie trình duyệt.
• Kiểm soát từ xa: Kẻ tấn công có thể điều khiển thiết bị từ xa.
• Thiệt hại kinh tế: Thông tin bị đánh cắp có thể được sử dụng để lừa đảo hoặc tống tiền.
• Mã hóa dữ liệu đòi tiền chuộc: Thiết bị bị làm chậm, thường xuyên gặp lỗi hoặc dữ liệu bị mã hóa nhằm mục đích tống tiền.
Kiểm tra một vàitrên GitHub , mã độc này được xây dựng bằng nhiều ngôn ngữ lập trình khác nhau (bao gồm JavaScript, VBS, PowerShell, C#, và C++) để tạo thành một chuỗi quy trình phức tạp, cuối cùng kích hoạt chức năng của một phần mềm gián điệp hoặc mã độc backdoor.
Mã độc được phát hiện sử dụng nhiều ngôn ngữ lập trình như JavaScript, VBS, PowerShell, C#, C++ để xây dựng chuỗi hành vi độc hại. Quy trình tấn công của mã độc này bao gồm các bước phức tạp nhằm đạt được mục tiêu xâm nhập và khai thác thông tin. Đầu tiên, tin tặc sử dụng cơ chế PreBuildEvent của Visual Studio để thực thi lệnh độc hại. Sau đó, chúng tải về và giải nén các tệp độc hại từ GitHub, bao gồm SearchFilter.7z chứa mã độc nền tảng Electron và BitDefender.7z (Có vẻ như được nhà phát triển này đăng tải để nghiên cứu, trong các gói công cụ này đều đặt mã mật khẩu khi giải nén.)chứa công cụ Lumma Stealer cùng các backdoor. Tiếp theo, mã độc được chèn vào các quy trình hợp pháp như RegAsm.exe hoặc DWWIN.exe để tránh bị phát hiện, đồng thời tải thêm các module độc hại như RAT (Remote Access Tools) gồm AsyncRAT, Quasar, Remcos, và các công cụ đánh cắp thông tin nhạy cảm.
Mã:
https://github.com/Fxkw45/delhi-metro/releases/download/metro/SearchFilter.7z
SearchFilter.7z chứa mã độc nền tảng Electron
https://github.com/nguyendeptrai2004/ARFramework/releases/download/Muck/BitDefender.7z
BitDefender.7z chứa công cụ Lumma Stealer cùng các backdoor.
Về công cụ tấn công và kỹ thuật né tránh, mã độc áp dụng nhiều biện pháp tinh vi. Cụ thể, mã độc kiểm tra phiên bản hệ điều hành, số lõi CPU và các công cụ phân tích như Wireshark, Process Explorer, Fiddler để vô hiệu hóa các công cụ này, từ đó chống phân tích môi trường. Ngoài ra, mã độc sử dụng giải mã AES để chèn mã độc vào các tiến trình hợp pháp, đồng thời lợi dụng GitHub như một nền tảng hợp pháp để lưu trữ và phát tán mã độc, khiến việc phát hiện và ngăn chặn trở nên khó khăn hơn.
Một phần quan trọng của chiến dịch tấn công là công cụ Lumma Stealer, được thiết kế để đánh cắp nhiều loại dữ liệu từ thiết bị của nạn nhân. Công cụ này thu thập cookie và thông tin đăng nhập từ các nền tảng phổ biến như Reddit, Instagram, TikTok, Netflix, Discord, và Telegram. Ngoài ra, nó còn đánh cắp thông tin tài khoản trò chơi từ Epic Games, Riot Games, Steam, cùng các dữ liệu nhạy cảm khác như cấu hình VPN và cơ sở dữ liệu SQLite.
Trước những nguy cơ này, người dùng được khuyến nghị thường xuyên cập nhật cơ sở dữ liệu virus, kiểm tra kỹ mã nguồn trước khi sử dụng trong các dự án, và sử dụng phần mềm bảo mật đáng tin cậy để bảo vệ hệ thống khỏi các cuộc tấn công tiềm ẩn.