Đánh giá Cuộc Tấn Công npm: Chiến Lược Typosquatting và Hậu Quả

12/03/2025
2 mins read

Tổng quan về cuộc tấn công

  • Các gói bị nhắm đến: Nhóm Lazarus đã xâm nhập vào sáu gói npm được thiết kế để đánh cắp thông tin đăng nhập và triển khai backdoor. Các gói này bao gồm: is-buffer-validator, yoojae-validator, event-handle-package, array-empty-validator, react-event-dependency, và auth-validator. Những gói này đã được tải xuống hơn 330 lần, cho thấy tác động tiềm tàng đáng kể.
  • Chiến thuật typosquatting: Các gói độc hại này mô phỏng tên của các thư viện được tin cậy rộng rãi, sử dụng chiến thuật typosquatting để đánh lừa các nhà phát triển hợp nhất chúng vào quy trình làm việc của họ.

Phân tích kỹ thuật

  • Kỹ thuật che giấu: Phần mềm độc hại được nhúng trong các gói này sử dụng các kỹ thuật che giấu tinh vi, bao gồm các hàm tự gọi và các bộ tạo hàm động, để làm tối ưu chức năng thực sự của nó.
  • Thu thập dữ liệu: Phần mềm độc hại được thiết kế để thu thập thông tin môi trường hệ thống, trích xuất dữ liệu nhạy cảm từ trình duyệt, và nhắm mục tiêu vào ví tiền điện tử. Nó lặp lại một cách có hệ thống qua các hồ sơ trình duyệt để xác định và trích xuất các tệp nhạy cảm như dữ liệu đăng nhập từ Chrome, Brave và Firefox, cũng như các kho lưu trữ keychain trên macOS.
  • Exfiltration: Dữ liệu bị đánh cắp sau đó được đưa ra ngoài đến một máy chủ điều khiển và kiểm soát (C2) đã được mã hóa sẵn.

Attribution

  • Khả năng liên quan đến Lazarus: Mặc dù việc gán trách nhiệm cho cuộc tấn công này một cách chắc chắn cho Lazarus hoặc một bản sao tinh vi vẫn còn khó khăn do những thách thức trong việc xác định hoàn toàn, nhưng các chiến thuật, kỹ thuật và quy trình (TTP) được quan sát trong cuộc tấn công npm này rất giống với các hoạt động đã biết của Lazarus.

Biện pháp giảm thiểu và khuyến nghị

  • Phương pháp đa lớp: Các tổ chức nên thực hiện một phương pháp đa lớp để phát hiện và phòng ngừa, bao gồm kiểm tra tự động các phụ thuộc và đánh giá mã nguồn để xác định các bất thường trong các gói của bên thứ ba, đặc biệt là những gói có số lượng tải xuống thấp hoặc từ các nguồn không xác minh.
  • Giám sát liên tục: Giám sát liên tục các thay đổi phụ thuộc bất thường có thể phát hiện các cập nhật độc hại, trong khi việc chặn các kết nối ra ngoài tới những điểm C2 đã biết sẽ ngăn chặn việc đưa dữ liệu ra ngoài.
  • Giáo dục: Giáo dục các nhóm phát triển về các chiến thuật typosquatting phổ biến sẽ tăng cường sự thận trọng và củng cố quá trình thẩm định đúng đắn trước khi cài đặt các gói mới.

Cuộc tấn công này nhấn mạnh mối đe dọa đang diễn ra từ những cuộc tấn công chuỗi cung ứng tinh vi, nhấn mạnh sự cần thiết phải có các biện pháp bảo mật vững chắc trong quy trình phát triển và triển khai phần mềm.