Tin tặc tấn công dự án mã nguồn mở Axios, được hàng triệu người sử dụng, để phát tán phần mềm độc hại

Hacker tấn công dự án mã nguồn mở Axios, vốn được hàng triệu người sử dụng, để phát tán phần mềm độc hại

Một hacker đã tấn công và sửa đổi một công cụ phát triển phần mềm mã nguồn mở phổ biến để phát tán phần mềm độc hại, điều này có thể khiến hàng triệu nhà phát triển có nguy cơ bị xâm nhập. Vào thứ Hai, một hacker đã tung ra các phiên bản độc hại của thư viện JavaScript được sử dụng rộng rãi có tên là Axios, thư viện mà các nhà phát triển dựa vào để cho phép phần mềm của họ kết nối với internet. Thư viện bị ảnh hưởng được lưu trữ trên npm, một kho phần mềm lưu trữ mã cho các dự án mã nguồn mở. Axios được tải xuống hàng chục triệu lần mỗi tuần.

Vụ tấn công đã được phát hiện và ngăn chặn trong khoảng ba giờ từ đêm thứ Hai sang thứ Ba, theo công ty an ninh StepSecurity, đơn vị đã phân tích cuộc tấn công. Hacker ngày càng nhắm mục tiêu vào các nhà phát triển các dự án mã nguồn mở phổ biến trong nỗ lực tấn công hàng loạt bất kỳ ai dựa vào mã bị xâm nhập, có khả năng cấp cho hacker quyền truy cập vào số lượng lớn các thiết bị bị ảnh hưởng.

Những loại vi phạm lan rộng này được gọi là tấn công chuỗi cung ứng vì chúng nhắm mục tiêu vào phần mềm cho phép hacker sau đó tấn công bất kỳ ai đã tải xuống phần mềm bị xâm nhập. Trong những năm gần đây, hacker đã nhắm mục tiêu vào các công ty như 3CX, Kaseya và SolarWinds, cũng như các công cụ mã nguồn mở như Log4j và Polyfill.io, để nhắm mục tiêu vào số lượng lớn người dùng của họ. Hiện tại vẫn chưa rõ có bao nhiêu người đã tải xuống phiên bản độc hại của Axios trong khoảng thời gian đó.

Công ty an ninh Aikido, đơn vị cũng điều tra vụ việc, cho biết bất kỳ ai đã tải xuống mã "nên cho rằng hệ thống của họ đã bị xâm nhập."

Liên hệ với chúng tôi

Bạn có thêm thông tin về vụ hack này không? Hoặc các cuộc tấn công chuỗi cung ứng khác? Từ một thiết bị không phải của công ty, bạn có thể liên hệ an toàn với Lorenzo Franceschi-Bicchierai trên Signal theo số +1 917 257 1382 hoặc qua Telegram, Keybase và Wire @lorenzofb, hoặc qua email.

Hacker đã có thể chèn mã độc hại vào bên trong Axios bằng cách xâm phạm tài khoản của một trong những nhà phát triển chính của dự án, người được ủy quyền để đưa ra các bản cập nhật. Hacker đã thay thế địa chỉ email của nhà phát triển hợp pháp trên tài khoản bằng địa chỉ email của chính họ, khiến nhà phát triển khó lấy lại quyền truy cập hơn. Sau khi kiểm soát được tài khoản, hacker đã chèn mã độc hại được thiết kế để phân phối một trojan truy cập từ xa, hay còn gọi là RAT - về cơ bản là phần mềm độc hại có thể cung cấp cho hacker quyền kiểm soát từ xa hoàn toàn máy tính của nạn nhân. Hacker sau đó đã tung ra các phiên bản mới của Axios trong một bản cập nhật có vẻ hợp pháp cho người dùng Windows, macOS và Linux.

Hacker cũng thiết kế phần mềm độc hại, cũng như một số mã được sử dụng để phân phối nó, để tự động xóa sau khi cài đặt trong một nỗ lực nhằm ẩn mình khỏi các công cụ chống phần mềm độc hại và các nhà điều tra, theo các nhà nghiên cứu bảo mật.

Lorenzo Franceschi-Bicchierai là Nhà văn cao cấp tại TechCrunch, nơi ông đưa tin về hack, an ninh mạng, giám sát và quyền riêng tư. Bạn có thể liên hệ hoặc xác minh thông tin liên lạc từ Lorenzo bằng cách gửi email tới lorenzo@techcrunch.com, qua tin nhắn được mã hóa theo số +1 917 257 1382 trên Signal và @lorenzofb trên Keybase/Telegram.