Một trong những vụ tấn công “gói” npm lớn nhất trong lịch sử: 150.000 gói độc hại được dùng để “đào tiền ảo”
Amazon gần đây đã tiết lộ “một trong những sự kiện tràn gói lớn nhất trong lịch sử các kho lưu trữ mã nguồn mở”, nhưng phương thức tấn công lần này khác với các hình thức trước đây như tiêm mã độc, đánh cắp thông tin đăng nhập hay cài ransomware. Thay vào đó, vụ tấn công sử dụng tiền điện tử để kiếm lợi.
Các nhà nghiên cứu bảo mật của Amazon Inspector, nhờ vào các quy tắc phát hiện mới và sự hỗ trợ của AI, đã lần đầu phát hiện các gói npm đáng ngờ vào cuối tháng 10 và trước ngày 7/11 đã đánh dấu được hàng nghìn gói. Đến ngày 12/11, nhóm nghiên cứu phát hiện tổng cộng hơn 150.000 gói độc hại đến từ “nhiều” tài khoản nhà phát triển.
Các gói độc này được cho là liên quan đến một chiến dịch khai thác token tea.xyz có tính phối hợp. tea.xyz là một giao thức phi tập trung, nhằm thưởng TEA token cho đóng góp của các nhà phát triển mã nguồn mở; token này được sử dụng trong hệ sinh thái để khuyến khích, staking và quản trị. Theo thông tin, kẻ tấn công đã tiêm hơn 150.000 gói độc vào kho npm, mỗi gói chứa mã tự sao chép, cho phép các gói bị nhiễm tự động tạo và phát hành gói mới, từ đó nhận thưởng tiền điện tử thông qua hệ sinh thái của các nhà phát triển mã nguồn mở hợp pháp.
Amazon cho biết các đoạn mã này còn chứa file tea.yaml trỏ đến ví do kẻ tấn công kiểm soát, khiến người dùng khi sử dụng các gói này vô tình “nạp tiền” cho kẻ tấn công mà không hay biết.
Các nhà nghiên cứu bảo mật của Amazon cảnh báo, loại tấn công này không chỉ tiêu tốn tài nguyên kho lưu trữ và làm giảm độ tin cậy của cộng đồng mã nguồn mở, mà còn có thể khơi mào các hình thức tấn công tự động tạo gói khác với mục đích tài chính.
Amazon đang hợp tác với Open Source Security Foundation (OpenSSF) để xử lý các gói liên quan và gửi các gói độc mới phát hiện vào kho gói độc của OpenSSF. Theo thông tin, mỗi gói được gửi đi trung bình trong vòng 30 phút sẽ được gán nhãn MAL-ID.
Các nhà nghiên cứu AWS, Chi Tran và Charlie Bacon, cho biết:
Tran và Bacon chỉ ra rằng mặc dù vụ tấn công lần này không sử dụng phần mềm gián điệp hay các chương trình độc hại khác, nhưng vẫn mang lại nhiều rủi ro, bao gồm việc tràn ngập kho npm với các gói chất lượng thấp, không có chức năng, làm xói mòn niềm tin vốn đã chịu áp lực lớn của cộng đồng mã nguồn mở. Hơn nữa, cơ sở hạ tầng, băng thông và dung lượng lưu trữ của kho bị chiếm dụng bởi các gói vì mục đích lợi nhuận, gây ảnh hưởng tới các nhà phát triển đóng góp thực sự.
Họ cũng cảnh báo:
Amazon khuyến nghị các nhà phát triển nên sử dụng công cụ của họ để kiểm tra xem trong môi trường phát triển có tồn tại các gói liên quan đến hoạt động khai thác token tea.xyz hay không. Tuy nhiên, việc loại bỏ các gói chất lượng thấp, không chức năng, củng cố chuỗi cung ứng bao gồm sử dụng Software Bill of Materials (SBOM) và cách ly môi trường CI/CD vẫn là các biện pháp bảo mật cơ bản và hiệu quả.
Các gói độc này được cho là liên quan đến một chiến dịch khai thác token tea.xyz có tính phối hợp. tea.xyz là một giao thức phi tập trung, nhằm thưởng TEA token cho đóng góp của các nhà phát triển mã nguồn mở; token này được sử dụng trong hệ sinh thái để khuyến khích, staking và quản trị. Theo thông tin, kẻ tấn công đã tiêm hơn 150.000 gói độc vào kho npm, mỗi gói chứa mã tự sao chép, cho phép các gói bị nhiễm tự động tạo và phát hành gói mới, từ đó nhận thưởng tiền điện tử thông qua hệ sinh thái của các nhà phát triển mã nguồn mở hợp pháp.
Amazon cho biết các đoạn mã này còn chứa file tea.yaml trỏ đến ví do kẻ tấn công kiểm soát, khiến người dùng khi sử dụng các gói này vô tình “nạp tiền” cho kẻ tấn công mà không hay biết.
Các nhà nghiên cứu bảo mật của Amazon cảnh báo, loại tấn công này không chỉ tiêu tốn tài nguyên kho lưu trữ và làm giảm độ tin cậy của cộng đồng mã nguồn mở, mà còn có thể khơi mào các hình thức tấn công tự động tạo gói khác với mục đích tài chính.
Amazon đang hợp tác với Open Source Security Foundation (OpenSSF) để xử lý các gói liên quan và gửi các gói độc mới phát hiện vào kho gói độc của OpenSSF. Theo thông tin, mỗi gói được gửi đi trung bình trong vòng 30 phút sẽ được gán nhãn MAL-ID.
Các nhà nghiên cứu AWS, Chi Tran và Charlie Bacon, cho biết:
“Sự kiện này cho thấy các hình thái mối đe dọa tiếp tục phát triển. Các động lực tài chính đang thúc đẩy sự ‘ô nhiễm’ kho lưu trữ với quy mô chưa từng có, đồng thời nhấn mạnh vai trò quan trọng của hợp tác giữa ngành và cộng đồng trong bảo vệ chuỗi cung ứng phần mềm.”
Tran và Bacon chỉ ra rằng mặc dù vụ tấn công lần này không sử dụng phần mềm gián điệp hay các chương trình độc hại khác, nhưng vẫn mang lại nhiều rủi ro, bao gồm việc tràn ngập kho npm với các gói chất lượng thấp, không có chức năng, làm xói mòn niềm tin vốn đã chịu áp lực lớn của cộng đồng mã nguồn mở. Hơn nữa, cơ sở hạ tầng, băng thông và dung lượng lưu trữ của kho bị chiếm dụng bởi các gói vì mục đích lợi nhuận, gây ảnh hưởng tới các nhà phát triển đóng góp thực sự.
Họ cũng cảnh báo:
“Thành công của chiến dịch này có thể khơi dậy các hành vi lạm dụng tương tự với những hệ thống dựa trên phần thưởng khác, khiến việc tạo gói tự động vì mục đích lợi nhuận trở nên phổ biến hơn.”
Amazon khuyến nghị các nhà phát triển nên sử dụng công cụ của họ để kiểm tra xem trong môi trường phát triển có tồn tại các gói liên quan đến hoạt động khai thác token tea.xyz hay không. Tuy nhiên, việc loại bỏ các gói chất lượng thấp, không chức năng, củng cố chuỗi cung ứng bao gồm sử dụng Software Bill of Materials (SBOM) và cách ly môi trường CI/CD vẫn là các biện pháp bảo mật cơ bản và hiệu quả.
BÀI MỚI ĐANG THẢO LUẬN