Một cuộc tấn công chuỗi cung ứng quy mô lớn đã phát tán hơn 800 gói NPM độc hại
Một tác nhân nguy hại có tên “RED-LILI” bị cáo buộc đứng đằng sau một chiến dịch tấn công chuỗi cung ứng quy mô lớn đang diễn ra nhằm vào kho lưu trữ gói NPM bằng cách phát tán gần 800 mô-đun độc hại.
Công ty bảo mật Checkmarx của Israel cho biết : “Thông thường, những kẻ tấn công sử dụng một tài khoản NPM ẩn danh dùng một lần để thực hiện các cuộc tấn công của mình. Có vẻ như lần này, kẻ tấn công đã hoàn toàn tự động hóa quá trình tạo tài khoản NPM và đã tạo các tài khoản chuyên dụng, mỗi tài khoản một gói, khiến việc phát hiện hàng loạt gói mã độc mới trở nên khó khăn hơn”.
Các phát hiện này dựa trên các báo cáo gần đây từ JFrog và Sonatype . Cả hai đều nêu chi tiết hàng trăm gói NPM tận dụng các kỹ thuật như dependency confusion và tấn công lỗi chính tả (typosquatting) để nhắm vào các nhà phát triển Azure, Uber và Airbnb.
Theo phân tích chi tiết về cách thức hoạt động của RED-LILI thì bằng chứng sớm nhất về hoạt động bất thường được cho là đã xảy ra vào ngày 23/2/2022, với một loạt các gói độc hại “bùng nổ” trong khoảng thời gian kéo dài một tuần.
Cụ thể, quy trình tự động hóa để tải các thư viện giả mạo lên NPM mà Checkmarx mô tả là “nhà máy” liên quan đến việc sử dụng kết hợp các mã Python được tùy chỉnh và các công cụ kiểm tra web như Selenium, để mô phỏng các hành động của người dùng cần thiết nhằm sao chép quy trình tạo tài khoản mới của người dùng thật.
Để vượt qua rào cản xác minh mật khẩu một lần (OTP) do NPM đặt ra, kẻ tấn công sử dụng một công cụ mã nguồn mở có tên là Interactsh để trích xuất OTP do máy chủ NPM gửi đến địa chỉ email được cung cấp trong quá trình đăng ký cho phép yêu cầu tạo tài khoản được chấp thuận.
Với tài khoản người dùng NPM hoàn toàn mới này, tin tặc sau đó tiến hành tạo và phát tán một gói độc hại, chỉ một gói cho mỗi tài khoản theo cách tự động. Tuy nhiên quá trình này chỉ thực hiện sau khi tạo một mã thông báo (access token) truy cập để có thể phát tán gói độc hại mà không yêu cần email OTP.
Các chuyên gia cho biết: “Khi những kẻ tấn công chuỗi cung ứng cải thiện kỹ năng của chúng và gây ra nhiều khó khăn cho những người phòng thủ, cuộc tấn công này đánh dấu một cột mốc quan trọng khác trong sự tiến bộ của chúng. Bằng cách phân phối các gói thông qua nhiều tài khoản khác nhau, kẻ tấn công khiến những người bảo vệ khó có thể phối hợp và hạ gục tất cả chúng chỉ bằng ‘một đòn’. Tất nhiên, điều đó cũng làm cho khả năng lây nhiễm trở nên cao hơn”.
Theo Thehackernews
The post Một cuộc tấn công chuỗi cung ứng quy mô lớn đã phát tán hơn 800 gói NPM độc hại appeared first on SecurityDaily .
Related News
Top News
-
![]()
Tin Tặc Nga khai thác lỗ hổng Windows Print Spooler để triển khai phần mềm độc hại 'GooseEgg'Tác nhân đe dọa quốc gia-nhà nước liên kết với Nga đã theo dõi khi APT28 vũ khí hóa một lỗ hổng bảo mật trong thành...
-
![]()
[Cập nhật] Lỗ hổng zero-day 10 điểm trong hệ điều hành tường lửa PAN-OSCập nhật: Công ty an ninh mạng Palo Alto Networks đã chia sẻ thêm thông tin chi tiết về lỗ hổng nghiêm trọng ảnh hưởng đến PAN-OS. Lỗ hổng...
-
![]()
Lỗi đánh máy tạo nên lỗ hổng nguy hiểm trên TelegramMột lỗ hổng zero-day trên ứng dụng Telegram vừa được phát hiện, cho phép hacker có thể chiếm quyền điều khiển thiết bị, đánh cắp các thông tin cá...
-
![]()
Cisco giải quyết lỗ hổng leo thang đặc quyền root trong IMC Cisco đã phát hành bản vá cho lỗ hổng leo thang đặc quyền (root) nghiêm trọng trong bộ điều khiển quản lý tích hợp (IMC - Integrated...
-
![]()
U.S. Imposes Visa Restrictions on 13 Linked to Commercial Spyware MisuseThe U.S. Department of State on Monday said it's taking steps to impose visa restrictions on 13 individuals who are allegedly involved in the...
-
![]()
Bệnh viện có thể tê liệt vì hacker mã hóa dữ liệu tống tiềnNếu bị tấn công mã hóa dữ liệu tống tiền, hoạt động khám chữa bệnh tại các cơ sở y tế sẽ tê liệt, chưa kể thông tin của bệnh nhân có thể bị đánh...