-
09/04/2020
-
128
-
1.702 bài viết
GlassWorm tấn công chuỗi cung ứng: Chiếm GitHub, cấy mã độc Python
Một biến thể mới của chiến dịch mã độc GlassWorm có tên ForceMemo đang nhắm vào chuỗi cung ứng phần mềm bằng cách chiếm quyền tài khoản GitHub và âm thầm chèn mã độc vào các dự án Python. Theo báo cáo, tin tặc sử dụng token GitHub bị đánh cắp để đẩy mã độc trực tiếp lên nhánh chính (main) của repository.
Mục tiêu trải rộng từ ứng dụng Django, mã AI/ML, dashboard Streamlit đến các gói phát hành trên PyPI. Mã độc được gắn thêm vào cuối các file Python như setup.py, main.py hoặc app.py. Khi lập trình viên cài đặt bằng pip install hoặc chạy code từ repo, mã độc sẽ được kích hoạt.
Chuỗi tấn công gồm 4 bước chính:
- Phát tán mã độc GlassWorm qua các extension độc hại trên VS Code/Cursor nhằm đánh cắp thông tin nhạy cảm, đặc biệt là token GitHub.
- Sử dụng token để truy cập tài khoản, sau đó chèn mã độc vào code hợp lệ rồi ghi đè lên nhánh chính gọi là force-push. Kỹ thuật này vẫn giữ nguyên nội dung commit: tên tác giả, thời gian, thông điệp), khiến thay đổi trở nên khó bị phát hiện.
- Đoạn mã độc được mã hóa Base64 kiểm tra cấu hình hệ thống, bỏ qua máy có thiết lập khu vực Nga, sau đó truy vấn một ví Solana để lấy địa chỉ tải mã độc.
- Tải thêm các thành phần độc hại như JavaScript mã hóa nhằm đánh cắp dữ liệu và tài sản tiền mã hóa.
Điểm đáng chú ý là kỹ thuật force-push cho phép ghi đè lịch sử Git mà không tạo pull request hay dấu vết rõ ràng trên giao diện GitHub. Đây là phương thức tấn công mới, tinh vi hơn so với các chiến dịch chuỗi cung ứng trước đây.
Ngoài ra, các nhà nghiên cứu cũng ghi nhận hơn 151 repository bị cài mã độc bằng kỹ thuật che giấu qua ký tự Unicode “vô hình”. Dù cách phát tán khác nhau, các mẫu mã độc đều sử dụng cùng hạ tầng ví Solana làm kênh điều khiển (C2) cho thấy đây là các đợt tấn công có liên kết.
Gần đây nhất, hai gói npm cũng bị xâm nhập, phát tán mã độc chạy trực tiếp trong bộ nhớ cho phép né tránh phần mềm bảo mật và hạn chế bị phát hiện.
Chiến dịch cho thấy xu hướng tấn công mới: kết hợp đánh cắp thông tin lập trình viên, thao túng lịch sử mã nguồn và tận dụng blockchain làm hạ tầng điều khiển làm gia tăng đáng kể rủi ro trong chuỗi cung ứng phần mềm hiện nay.
Ngoài ra, các nhà nghiên cứu cũng ghi nhận hơn 151 repository bị cài mã độc bằng kỹ thuật che giấu qua ký tự Unicode “vô hình”. Dù cách phát tán khác nhau, các mẫu mã độc đều sử dụng cùng hạ tầng ví Solana làm kênh điều khiển (C2) cho thấy đây là các đợt tấn công có liên kết.
Gần đây nhất, hai gói npm cũng bị xâm nhập, phát tán mã độc chạy trực tiếp trong bộ nhớ cho phép né tránh phần mềm bảo mật và hạn chế bị phát hiện.
Chiến dịch cho thấy xu hướng tấn công mới: kết hợp đánh cắp thông tin lập trình viên, thao túng lịch sử mã nguồn và tận dụng blockchain làm hạ tầng điều khiển làm gia tăng đáng kể rủi ro trong chuỗi cung ứng phần mềm hiện nay.
Theo The Hacker News