Tấn Công Chuỗi Cung Ứng: Chiến Dịch Biến Tướng Mã Nguồn Mở Của MUT-1244
Một cuộc tấn công chuỗi cung ứng tinh vi kéo dài một năm qua đang lấy cắp thông tin đăng nhập quan trọng từ cả nhân viên bảo mật và kẻ xấu thông qua phần mềm mã nguồn mở bị Trojan hóa.
Cuộc tấn công này đã hoạt động trong hơn một năm, khai thác các phần mềm mã nguồn mở từ GitHub và NPM để cài đặt phần mềm độc hại. Chiến dịch đã được báo cáo lần đầu tiên bởi một công ty an ninh vài tuần trước và tiếp tục được nghiên cứu thêm gần đây. Tình trạng này tiếp tục là mối nguy lớn đối với nhiều máy chủ khi mã độc không chỉ lấy cắp thông tin đăng nhập mà còn cài đặt phần mềm khai thác tiền điện tử trên máy tính nhiễm.
Băng nhóm tấn công được gọi là MUT-1244 với hành vi phức tạp, khai thác cách thức tấn công thông qua email lừa đảo và gói phần mềm độc hại như @0xengine/xmlrpc để tiếp cận mục tiêu. Gói phần mềm độc hại này đã được cải tiến liên tục trong thời gian dài, từ một gói mã nguồn mở bình thường, dần dần phát triển thành phần mềm độc hại với mã hóa phức tạp.
Chiến lược của chúng bao gồm việc phát triển các gói như yawpp trên GitHub, mà khi được cài đặt sẽ tự động kéo theo gói @0xengine/xmlrpc như một phụ thuộc giả mạo. Quá trình chế tạo phức tạp này tạo ra một lớp ngụy trang khiến phần mềm khó bị phát hiện.
Phương pháp tấn công thêm của MUT-1244 không chỉ dừng lại ở việc giả dạng phần mềm an toàn mà còn bao gồm phát tán qua email lừa đảo nhắm đến cộng đồng nghiên cứu trên nền tảng arXiv. Những email này xúi dục người nhận cập nhật mã microcode CPU giả mạo, một cách thức lén lút để tấn công các nhà nghiên cứu.
Cuối cùng, khả năng kéo dài và mở rộng của chiến dịch tấn công này cho thấy một nhóm tội phạm có kỹ năng và quyết tâm. Tuy nhiên, dấu vết mà chúng để lại, bao gồm mẫu email lừa đảo và địa chỉ, đã cho phép các nhà nghiên cứu xác định được một phần hoạt động của chúng.
Mặc dù động cơ cụ thể của cuộc tấn công này vẫn chưa rõ ràng, sự tồn tại kéo dài và kết hợp với nhiều kỹ thuật khai thác khác nhau cho thấy một mối đe dọa nghiêm trọng và cần sự chú ý của cộng đồng an ninh mạng. Các cảnh báo và chỉ thị từ các nghiên cứu giúp cá nhân và tổ chức có thể kiểm tra liệu họ có phải là mục tiêu của MUT-1244 hay không.