Tin tặc Triều Tiên chiếm quyền kiểm soát Axios trong một cuộc tấn công chuỗi cung ứng kéo dài nhiều tuần để thiết lập
Một dự án được sử dụng rộng rãi biến thành vector tấn công mạng
Một chiến dịch mạng của Triều Tiên đã chiếm quyền kiểm soát Axios, một trong những dự án mã nguồn mở được sử dụng rộng rãi nhất trên web, trong một cuộc tấn công vào ngày 31 tháng 3 mà dường như đã được chuẩn bị trong nhiều tuần. Sự xâm nhập này nhấn mạnh cách các tin tặc được nhà nước hậu thuẫn ngày càng nhắm mục tiêu vào cơ sở hạ tầng phần mềm đáng tin cậy, nơi một lỗ hổng duy nhất có thể lan rộng ra hàng ngàn hệ thống.
Axios là một thư viện JavaScript phổ biến được các nhà phát triển sử dụng để kết nối các ứng dụng với internet. Vì nó nằm trong rất nhiều bản dựng phần mềm, việc dự án bị xâm nhập có thể gây ra hậu quả vượt xa chính dự án đó. Trong trường hợp này, các bản cập nhật độc hại chỉ tồn tại khoảng ba giờ trước khi bị gỡ bỏ, nhưng khoảng thời gian đó vẫn có thể đủ để lây nhiễm hàng ngàn hệ thống.
Cuộc tấn công đã được ghi lại trong một báo cáo phân tích sau sự cố của Jason Saayman, người duy trì dự án và đã trình bày dòng thời gian của sự xâm nhập. Theo Saayman, những kẻ tấn công bắt đầu nhắm mục tiêu vào anh ta khoảng hai tuần trước khi chúng giành quyền kiểm soát máy tính của anh ta và sử dụng nó để phát tán mã độc.
Một vụ lừa đảo dài hơi dựa trên lòng tin
Chiến dịch này ít dựa vào tấn công vũ phu mà dựa nhiều vào sự kiên nhẫn. Saayman cho biết những kẻ tấn công đã giả mạo một công ty thật, tạo một không gian làm việc Slack thuyết phục và điền vào đó các hồ sơ nhân viên giả mạo để làm cho trò lừa đảo trông hợp pháp. Sau đó, chúng mời anh ta tham gia một cuộc họp web yêu cầu anh ta tải xuống phần mềm độc hại được ngụy trang dưới dạng bản cập nhật cần thiết để tham gia cuộc gọi.
Saayman cho biết mồi nhử này khớp với một kỹ thuật trước đây được liên kết với tin tặc Triều Tiên và được các nhà nghiên cứu bảo mật của Google xác định: một phương pháp kỹ thuật xã hội thuyết phục mục tiêu cài đặt phần mềm cung cấp cho kẻ tấn công quyền truy cập từ xa. Trong trường hợp này, quyền truy cập đó dường như là chìa khóa để đẩy các bản phát hành Axios độc hại.
Sự cố này minh họa lý do tại sao những người duy trì mã nguồn mở đã trở thành mục tiêu có giá trị cao như vậy. Các dự án phổ biến thường được duy trì bởi các nhóm nhỏ hoặc thậm chí chỉ một nhà phát triển duy nhất, nhưng chúng có thể được nhúng vào vô số ứng dụng và dịch vụ. Điều đó làm cho các thiết bị cá nhân của những người duy trì trở thành một điểm vào hấp dẫn đối với những kẻ tấn công muốn xâm nhập phần mềm trên quy mô lớn.
Rủi ro vượt xa một dự án
Bảo vệ quyền riêng tư của bạn với Doppler VPN
Dùng thử miễn phí 3 ngày. Không đăng ký. Không nhật ký.
Các gói Axios độc hại đã nhanh chóng bị gỡ bỏ, nhưng không phải trước khi chúng có cơ hội lây lan. Bất kỳ hệ thống nào đã cài đặt một trong các phiên bản bị xâm nhập trong khoảng thời gian phơi nhiễm ngắn ngủi đều có thể dễ bị đánh cắp khóa riêng, thông tin đăng nhập và mật khẩu được lưu trữ trên máy đó. Những bí mật bị đánh cắp đó sau đó có thể được sử dụng để thâm nhập sâu hơn vào các hệ thống và dịch vụ khác, biến một sự cố chuỗi cung ứng phần mềm thành một vụ vi phạm rộng lớn hơn.
Khả năng đó là điều khiến loại tấn công này đáng lo ngại. Nạn nhân trực tiếp có thể là máy tính xách tay của nhà phát triển hoặc một kho lưu trữ gói duy nhất, nhưng mục tiêu cuối cùng có thể rộng lớn hơn nhiều: những người dùng và tổ chức tin tưởng dự án như một phần của ngăn xếp phần mềm của họ.
Sự cố Axios cũng phù hợp với một mô hình rộng lớn hơn. Tin tặc Triều Tiên vẫn là một trong những mối đe dọa mạng tích cực nhất trên internet, và chúng đã nhiều lần được liên kết với các hoạt động kết hợp kỹ thuật xã hội, đánh cắp thông tin đăng nhập và phần mềm độc hại truy cập từ xa. Các chiến dịch của chúng thường làm mờ ranh giới giữa hoạt động gián điệp và tội phạm có động cơ tài chính, với việc đánh cắp tiền điện tử thường là một phần của hỗn hợp.
Một kịch bản quen thuộc, một cảnh báo lớn hơn
Điều làm cho sự xâm nhập mới nhất này nổi bật không chỉ là mục tiêu, mà còn là cách thức triển khai có phương pháp. Những kẻ tấn công không chỉ đơn thuần khai thác một lỗ hổng kỹ thuật trong mã của dự án. Chúng đã đầu tư thời gian vào việc xây dựng một danh tính đáng tin cậy, giành được lòng tin của người duy trì và cuối cùng có được quyền truy cập vào máy được sử dụng để phát hành các bản cập nhật chính thức.
Cách tiếp cận đó làm nổi bật một thực tế khó khăn đối với các hệ sinh thái mã nguồn mở: bảo mật của phần mềm được sử dụng rộng rãi không chỉ phụ thuộc vào việc xem xét mã và giám sát gói, mà còn phụ thuộc vào các biện pháp phòng thủ cá nhân của những người duy trì mã. Khi các tin tặc được nhà nước tài trợ và các nhóm tội phạm tiếp tục nhắm mục tiêu vào những người duy trì đó, chuỗi cung ứng tự nó trở thành một tiền tuyến trong xung đột mạng.
Saayman đã không trả lời ngay lập tức các câu hỏi tiếp theo về sự cố. Phạm vi đầy đủ của sự xâm nhập vẫn đang được đánh giá, nhưng bài học đã rõ ràng: khi phần mềm đáng tin cậy bị chiếm quyền kiểm soát, phạm vi ảnh hưởng có thể mở rộng rất xa so với dự án bị vi phạm.
Nguồn: