Hệ thống phát hiện tự động của Sonatype đã phanh phui một chiến dịch tấn công chuỗi cung ứng phần mềm (software supply chain attack) quy mô lớn, đang diễn ra liên tục, được thực hiện bởi nhóm tác nhân đe dọa khét tiếng Lazarus Group. Nhóm này được cho là do Cục Trinh sát Tổng hợp của Triều Tiên hậu thuẫn, nhắm mục tiêu vào hệ sinh thái mã nguồn mở toàn cầu.
Từ tháng 1 đến tháng 7 năm 2025, Sonatype đã xác định và ngăn chặn tổng cộng 234 gói phần mềm độc hại được triển khai thông qua các kho lưu trữ mã nguồn mở npm và PyPI. Các gói này được ngụy trang tinh vi dưới dạng các tiện ích dành cho nhà phát triển được sử dụng rộng rãi, nhằm mục đích thâm nhập và duy trì quyền truy cập trái phép.
Chiến Thuật Xâm Nhập và Mục Tiêu Của Lazarus Group
Quy Mô và Bản Chất Cuộc Tấn Công Mã Độc
Các gói được thiết kế để hòa nhập liền mạch với mã hợp pháp, hoạt động như các implant gián điệp. Mục tiêu chính của chúng là thực hiện rò rỉ dữ liệu, đánh cắp thông tin xác thực, lập hồ sơ máy chủ và thiết lập các backdoor mạng dai dẳng.
Chiến dịch này nhắm vào các tổ chức quan trọng và môi trường phát triển, thu thập thông tin tình báo có giá trị. Mức độ tinh vi của các gói mã độc cho thấy sự đầu tư đáng kể vào nghiên cứu và phát triển từ phía kẻ tấn công, phản ánh khả năng của Lazarus Group.
Sự Chuyển Dịch Chiến Lược của Lazarus Group
Lazarus Group, còn được theo dõi dưới tên Hidden Cobra, nổi tiếng toàn cầu với việc dàn dựng các hoạt động phá hoại nghiêm trọng và gây thiệt hại tài chính nặng nề. Các vụ việc nổi bật bao gồm vụ hack Sony Pictures năm 2014, vụ cướp ngân hàng Bangladesh trị giá 81 triệu USD vào năm 2016, vụ tấn công ransomware WannaCry toàn cầu năm 2017, và gần đây nhất là vụ trộm tiền điện tử ByBit ước tính 1.5 tỷ USD vào năm 2025.
Truyền thống liên quan đến các cuộc tấn công phá hủy và cướp tài chính quy mô lớn, Lazarus Group giờ đây đang thể hiện một bước ngoặt chiến lược tinh vi. Chiến dịch mới nhất của nhóm cho thấy sự tập trung rõ rệt vào việc xâm nhập và duy trì quyền truy cập lâu dài, khai thác chính xương sống của quá trình phát triển kỹ thuật số hiện đại: các kho lưu trữ gói mã nguồn mở.
Phân Tích Kỹ Thuật Triển Khai Mã Độc
Kỹ Thuật Giả Mạo Tinh Vi và Né Tránh Phát Hiện
Phân tích kỹ thuật chi tiết của chiến dịch, được trình bày trong báo cáo mới nhất của Sonatype, cho thấy kẻ tấn công đã bắt chước cẩn thận các gói mã nguồn mở phổ biến. Họ thậm chí còn sao chép sát sao các thương hiệu đã có, lịch sử phiên bản và tài liệu liên quan để tăng tính hợp pháp và đánh lừa các nhà phát triển.
Mã của các implant được che giấu một cách khéo léo nhằm né tránh phân tích tĩnh và các cơ chế phát hiện trên cả hai kho lưu trữ. Kỹ thuật obfuscation phức tạp giúp chúng khó bị nhận diện ngay cả khi được kiểm tra sơ bộ, cho phép chúng tồn tại lâu hơn trong hệ thống bị xâm nhập.
Cơ Chế Thu Thập Thông Tin và Tải Trọng Độc Hại
Khi được nhập vào một dự án của nhà phát triển, các gói mã độc này sẽ âm thầm thu thập các biến môi trường nhạy cảm. Chúng bao gồm token xác thực, khóa SSH và thông tin xác thực API nội bộ. Đây là những “chìa khóa” quan trọng có thể mở ra quyền truy cập vào các hệ thống và dịch vụ khác, cho phép kẻ tấn công mở rộng phạm vi xâm nhập.
Các tải trọng (payload) nâng cao có khả năng lập hồ sơ các máy trạm của nhà phát triển, lập bản đồ cơ sở hạ tầng được kết nối và phân phối các loại mã độc mô-đun giai đoạn hai. Điều này cho phép kẻ tấn công tùy chỉnh các cuộc tấn công tiếp theo dựa trên môi trường cụ thể bị xâm nhập, thích ứng với từng mục tiêu.
Trong nhiều trường hợp, các hacker đã triển khai các beacon điều khiển và chỉ huy (C2) từ xa để thiết lập quyền truy cập liên tục. Điều này cho phép thực hiện trinh sát sâu rộng và chuẩn bị cho các hoạt động tấn công trong tương lai, duy trì sự hiện diện bí mật trong mạng lưới mục tiêu mà không bị phát hiện.
Tác Động và Rủi Ro Trong Chuỗi Cung Ứng Phần Mềm
Phạm Vi Ảnh Hưởng và Khả Năng Lây Lan Nguy Hiểm
Phạm vi tiếp cận của chiến dịch là đáng báo động. Theo dữ liệu từ Sonatype, hơn 36.000 nhà phát triển và tổ chức đã có khả năng cài đặt các gói bị xâm phạm này. Điều này xảy ra trước khi các cơ chế phát hiện kịp thời chặn đứng sự lây lan rộng hơn của chúng.
Nguy hiểm càng gia tăng bởi bản chất của chuỗi cung ứng phần mềm hiện nay. Các đường ống tích hợp liên tục và triển khai liên tục (CI/CD) thường tự động tiêu thụ và truyền bá các dependency mã nguồn mở. Quá trình này thường diễn ra mà không có sự kiểm tra thủ công, sandbox, hoặc phân tích hành vi kỹ lưỡng, tạo ra một điểm yếu lớn.
Lỗ hổng cấu trúc này làm tăng đáng kể “bán kính vụ nổ” của một cuộc tấn công chuỗi cung ứng phần mềm thành công. Nó có khả năng cấp cho kẻ tấn công quyền truy cập đặc quyền vào cơ sở hạ tầng quan trọng, các ứng dụng độc quyền và môi trường đám mây của nạn nhân, gây ra hậu quả nghiêm trọng.
Điểm Yếu Hệ Thống Bị Khai Thác
Các chuyên gia trong ngành đã chỉ ra một số điểm yếu hệ thống đáng lo ngại bị Lazarus Group khai thác. Trong cuộc đua giành chu kỳ phát triển nhanh hơn và áp dụng thư viện mới cấp tốc, các nhà phát triển thường tin tưởng các gói phần mềm chỉ dựa vào sự công nhận tên tuổi hoặc số liệu thống kê lượt tải xuống, hiếm khi kiểm tra mã nguồn cơ bản.
Việc bảo trì các dự án mã nguồn mở cũng rất rời rạc. Nhiều dự án phổ biến chỉ được hỗ trợ bởi một hoặc hai cá nhân, do đó nguy cơ tài khoản bị thỏa hiệp hoặc dự án bị chiếm quyền vẫn luôn ở mức cao. Điều này tạo điều kiện thuận lợi cho kẻ tấn công thực hiện các chiến dịch như tấn công chuỗi cung ứng phần mềm.
Trong môi trường dễ dãi này, kẻ tấn công có thể dễ dàng mạo danh các gói uy tín hoặc tiêm mã độc vào các dự án bị bỏ hoang. Chúng đặt cược rằng số lượng lớn các dependency trong bất kỳ ứng dụng điển hình nào sẽ che khuất thời gian tồn tại của implant của chúng, khiến việc phát hiện trở nên cực kỳ khó khăn.
Các Biện Pháp Khuyến Nghị Và Tăng Cường An Ninh Mạng
Báo cáo của Sonatype nhấn mạnh rằng chiến thuật mới nhất của Lazarus Group báo hiệu một sự phát triển đáng kể trong hoạt động gián điệp mạng do nhà nước bảo trợ. Không giống như các chiến dịch trước đây chỉ đơn thuần tìm cách gây rối hoặc tống tiền, hoạt động này tập trung vào quyền truy cập bí mật và việc đánh cắp bí mật, nhắm vào chính các nhà phát triển. Thông tin xác thực và quyền truy cập đám mây của họ đóng vai trò là “chìa khóa vương quốc” bên trong các doanh nghiệp và cơ sở hạ tầng trọng yếu.
Với sự phổ biến của phần mềm mã nguồn mở trên mọi lĩnh vực, từ tài chính và năng lượng đến dịch vụ công, hàm ý của việc xâm nhập này mang tính toàn cầu và có phạm vi sâu rộng. Để đối phó với mối đe dọa này, Sonatype đã đưa ra các khuyến nghị sau (tham khảo thêm tại Sonatype Blog):
- Thực thi quản lý dependency chặt chẽ hơn: Các tổ chức cần áp dụng các chính sách nghiêm ngặt để kiểm soát việc sử dụng các thư viện và gói bên ngoài, bao gồm việc sử dụng các công cụ phân tích thành phần phần mềm (SCA) để kiểm tra tính bảo mật và nguồn gốc.
- Bắt buộc ký mã hóa cho các gói nội bộ: Đảm bảo rằng tất cả các gói phần mềm được phát triển và sử dụng nội bộ đều được ký mã hóa. Điều này giúp xác minh tính toàn vẹn và nguồn gốc của mã, ngăn chặn việc giả mạo hoặc thay đổi trái phép trong môi trường phát triển.
- Triển khai các công cụ phân tích hành vi: Sử dụng các công cụ có khả năng phát hiện hoạt động gói đáng ngờ trong thời gian thực. Các giải pháp này có thể nhận diện các hành vi bất thường mà phân tích tĩnh không thể phát hiện, như cố gắng truy cập tài nguyên nhạy cảm hoặc thiết lập kết nối bất thường, từ đó củng cố an ninh mạng.
Khi mã nguồn mở tiếp tục là nền tảng cho sự đổi mới kỹ thuật số, chiến dịch của Lazarus Group làm rõ rằng việc bảo vệ chuỗi cung ứng phần mềm đã trở thành một yêu cầu trung tâm trong bối cảnh xung đột mạng địa chính trị đang phát triển. Cuộc chiến vì sự tin cậy phần mềm không còn là rủi ro lý thuyết mà là một mặt trận chủ động, đòi hỏi sự phòng thủ tức thời, hợp tác và bền vững trên toàn bộ cộng đồng công nghệ.
