-
09/04/2020
-
124
-
1.546 bài viết
GitHub Desktop thành mồi nhử trong chiến dịch phát tán mã độc tinh vi
GitHub Desktop, công cụ quen thuộc của hàng triệu lập trình viên, vừa bị tin tặc biến thành mồi nhử trong một chiến dịch phát tán mã độc tinh vi. Không cần email lừa đảo, không cần file đính kèm đáng ngờ, kẻ tấn công chỉ việc lợi dụng chính cơ chế hoạt động của GitHub để khiến người dùng tự tay tải về một trình cài đặt đã bị cài cắm mã độc, dưới danh nghĩa phần mềm “chính chủ”.
Theo phân tích của GMO Cybersecurity, chiến dịch này diễn ra mạnh trong giai đoạn tháng 9–10/2025, ban đầu tập trung vào người dùng tại châu Âu, sau đó lan sang Nhật Bản và một số khu vực khác. Mục tiêu chính là các nhà phát triển thường xuyên tìm kiếm và tải GitHub Desktop để phục vụ công việc hàng ngày.
Chuỗi tấn công bắt đầu bằng việc tin tặc tạo các tài khoản GitHub dùng một lần, sau đó fork kho GitHub Desktop chính thức. Trong các bản fork này, chúng chỉnh sửa file README, thay thế liên kết tải bộ cài hợp pháp bằng đường dẫn trỏ tới trình cài đặt độc hại. Để tăng độ thuyết phục, các liên kết này được quảng bá thông qua quảng cáo tài trợ, nhắm trực tiếp vào các truy vấn tìm kiếm như “GitHub Desktop” trên Google, khiến nạn nhân dễ dàng nhấp vào mà không nghi ngờ.
Chuỗi lây nhiễm
Điểm nguy hiểm nằm ở cách GitHub hiển thị lịch sử commit. Ngay cả khi tài khoản fork hoặc kho giả mạo đã bị xóa, một số commit vẫn có thể tiếp tục xuất hiện dưới không gian tên của kho chính thức. Kỹ thuật này, thường được gọi là repo squatting, khiến việc truy vết và gỡ bỏ nội dung độc hại trở nên cực kỳ khó khăn đối với GitHub, đồng thời tạo cảm giác “hợp pháp” cho người tải về.
Mẫu mã độc được phát hiện trong chiến dịch này có tên GitHubDesktopSetup-x64.exe, dung lượng khoảng 127 MB, đóng vai trò như một loader nhiều giai đoạn. Bề ngoài, nó trông giống một trình cài đặt Windows thông thường viết bằng C++, nhưng khi phân tích sâu thông tin debug, các nhà nghiên cứu nhận ra đây thực chất là một ứng dụng .NET được đóng gói dưới dạng single-file thông qua cơ chế AppHost.
Mẫu mã độc được phát hiện trong chiến dịch này có tên GitHubDesktopSetup-x64.exe, dung lượng khoảng 127 MB, đóng vai trò như một loader nhiều giai đoạn. Bề ngoài, nó trông giống một trình cài đặt Windows thông thường viết bằng C++, nhưng khi phân tích sâu thông tin debug, các nhà nghiên cứu nhận ra đây thực chất là một ứng dụng .NET được đóng gói dưới dạng single-file thông qua cơ chế AppHost.
Ứng dụng .NET (Nguồn – GMO Security)
Payload độc hại thực sự không nằm ở phần thân chính của file mà được giấu trong vùng overlay, một kỹ thuật giúp né tránh các công cụ quét tĩnh đơn giản. Đáng chú ý hơn, chiến dịch này không chỉ dừng ở việc ngụy trang mà còn tích hợp các cơ chế né phân tích ở mức cao. Mã độc sử dụng OpenCL, một API khai thác GPU, để kiểm tra môi trường thực thi.
Các kỹ thuật né phân tích sử dụng OpenCL (Nguồn: GMO Security)
Phần lớn sandbox và máy ảo phân tích mã độc không được cài driver GPU hoặc không hỗ trợ OpenCL, khiến mẫu độc hại không kích hoạt hành vi thật trong môi trường phân tích tiêu chuẩn.
Chiêu thức này, được các nhà nghiên cứu đặt tên là GPUGate, buộc chuyên gia an ninh phải phân tích trên máy vật lý có phần cứng đồ họa thật mới có thể quan sát đầy đủ hành vi của mã độc. Ngoài ra, loader còn sử dụng các kỹ thuật đánh lạc hướng trong mã nguồn nhằm gây khó khăn cho việc khôi phục khóa giải mã bằng phương pháp phân tích tĩnh.
Chiêu thức này, được các nhà nghiên cứu đặt tên là GPUGate, buộc chuyên gia an ninh phải phân tích trên máy vật lý có phần cứng đồ họa thật mới có thể quan sát đầy đủ hành vi của mã độc. Ngoài ra, loader còn sử dụng các kỹ thuật đánh lạc hướng trong mã nguồn nhằm gây khó khăn cho việc khôi phục khóa giải mã bằng phương pháp phân tích tĩnh.
HijackLoader trong chiến dịch tấn công (Nguồn: GMO Security)
GMO Cybersecurity cho biết đây không phải chiến dịch đơn lẻ. Các mẫu tương tự đã được phát hiện từ tháng 5/2025, ngụy trang dưới dạng trình cài đặt của nhiều phần mềm quen thuộc khác như Chrome, Notion, 1Password hay Bitwarden. Điều này cho thấy một chiến lược lâu dài, linh hoạt và liên tục tiến hóa, tận dụng tối đa niềm tin của người dùng vào các công cụ phổ biến trong hệ sinh thái phát triển phần mềm.
Vụ việc một lần nữa gióng lên hồi chuông cảnh báo về rủi ro chuỗi cung ứng phần mềm, ngay cả khi nguồn phát tán là những nền tảng được xem là “chuẩn mực” của ngành. Với giới lập trình viên, thói quen tải phần mềm từ các liên kết tưởng như chính thống, kết hợp với quảng cáo tìm kiếm, đang trở thành điểm yếu bị tin tặc khai thác một cách có hệ thống và ngày càng tinh vi.
Vụ việc một lần nữa gióng lên hồi chuông cảnh báo về rủi ro chuỗi cung ứng phần mềm, ngay cả khi nguồn phát tán là những nền tảng được xem là “chuẩn mực” của ngành. Với giới lập trình viên, thói quen tải phần mềm từ các liên kết tưởng như chính thống, kết hợp với quảng cáo tìm kiếm, đang trở thành điểm yếu bị tin tặc khai thác một cách có hệ thống và ngày càng tinh vi.
Theo Cyber Security News