Hệ thống phát hiện mã độc tự động của Sonatype đã phơi bày một chiến dịch xâm nhập mạng quy mô lớn và đang diễn ra, được dàn dựng bởi nhóm Lazarus Group, còn được biết đến với tên gọi Hidden Cobra. Chiến dịch này tập trung vào các tấn công chuỗi cung ứng phần mềm thông qua hệ sinh thái mã nguồn mở.
Trong khoảng thời gian từ tháng 1 đến tháng 7 năm 2025, Sonatype đã xác định và ngăn chặn tổng cộng 234 gói mã độc độc nhất. Các gói này được gán cho tác nhân đe dọa được nhà nước bảo trợ này, phân tán trên các kho lưu trữ mã nguồn mở phổ biến như npm và PyPI. Chi tiết về chiến dịch có thể được tìm thấy tại Sonatype Blog.
Những gói độc hại này thường được ngụy trang dưới dạng công cụ phát triển hợp pháp. Chúng được thiết kế làm các công cụ gián điệp, với khả năng đánh cắp dữ liệu nhạy cảm. Ngoài ra, chúng còn có thể thu thập thông tin cấu hình máy chủ bị xâm nhập và thiết lập backdoor lâu dài vào các hạ tầng quan trọng.
Chiến dịch này đã xác định hơn 36.000 nạn nhân tiềm năng, và con số này vẫn tiếp tục tăng. Điều này cho thấy sự leo thang đáng kể trong việc vũ khí hóa phần mềm mã nguồn mở như một chiến trường cho các cuộc xung đột mạng địa chính trị.
Tổng quan về Lazarus Group và Chiến lược thay đổi
Lazarus Group, được liên kết với Cục Trinh sát Tổng hợp của Triều Tiên, nổi tiếng với lịch sử các cuộc tấn công mạng quy mô lớn trong thập kỷ qua. Các hoạt động đáng chú ý bao gồm vụ hack Sony Pictures năm 2014 và vụ cướp ngân hàng Bangladesh năm 2016.
Ngoài ra, nhóm này cũng đứng sau cuộc tấn công mã độc tống tiền WannaCry tàn khốc năm 2017. Năm 2025, họ còn bị liên kết với vụ trộm tiền điện tử ByBit trị giá 1,5 tỷ USD. Đây là một mối đe dọa mạng toàn cầu đã được ghi nhận.
Trong khi các hoạt động ban đầu của Lazarus Group tập trung vào việc gây gián đoạn và thiệt hại tài chính, những hoạt động gần đây cho thấy một sự thay đổi chiến lược. Nhóm này đang chuyển hướng sang các mục tiêu thâm nhập và gián điệp dài hạn.
Chiến dịch mới nhất nhắm vào các hệ sinh thái mã nguồn mở minh họa các chiến thuật tiên tiến của nhóm. Chúng bao gồm việc sử dụng mã độc được tùy chỉnh, các payload mô-đun và kỹ thuật né tránh hạ tầng tinh vi.
Các chiến thuật này nhằm duy trì quyền truy cập dai dẳng vào các mục tiêu có giá trị cao. Việc này làm tăng thêm rủi ro bảo mật cho các tổ chức sử dụng mã nguồn mở.
Khai thác Lỗ hổng trong Chuỗi Cung ứng Phần mềm
Bằng cách nhúng mã độc trực tiếp vào các kho lưu trữ gói phần mềm được sử dụng rộng rãi, Lazarus đã khai thác các lỗ hổng mang tính hệ thống trong vòng đời phát triển phần mềm (SDLC).
Đặc biệt, nhóm này nhắm vào môi trường phát triển và các đường ống CI/CD. Những hệ thống này thường tự động truyền bá các thành phần phụ thuộc chưa được xác minh.
Rủi ro từ phần mềm mã nguồn mở
Hoạt động này làm nổi bật các rủi ro duy nhất mà phần mềm mã nguồn mở mang lại. Chúng trở thành một vector cho gián điệp mạng và đánh cắp thông tin đăng nhập. Các nhà phát triển thường cài đặt các gói mà không có sự xác minh đầy đủ hoặc cô lập trong môi trường sandbox.
Điều này khiến môi trường của họ dễ bị lộ trước mã độc có thể tồn tại mà không bị phát hiện trong thời gian dài. Hơn nữa, nhiều dự án mã nguồn mở phổ biến được duy trì bởi các nhóm nhỏ hoặc thậm chí là cá nhân đơn lẻ. Điều này khiến chúng trở thành mục tiêu hàng đầu cho việc mạo danh hoặc bị xâm nhập.
Hệ thống của nhà phát triển thường chứa các thông tin đăng nhập và token nhạy cảm. Một khi bị đánh cắp, chúng có thể cấp cho kẻ tấn công quyền truy cập rộng hơn vào hạ tầng tổ chức. Điều này tạo ra một nguy cơ lớn về rò rỉ dữ liệu nhạy cảm.
Bản chất tự động của các hệ thống CI/CD làm trầm trọng thêm vấn đề. Các thành phần phụ thuộc độc hại có thể lây lan nhanh chóng qua các đường ống xây dựng. Điều này khuếch đại phạm vi và tác động của cuộc tấn công mạng.
Cách tiếp cận của Lazarus thể hiện sự hiểu biết sâu sắc về những điểm yếu này. Nhóm đã tận dụng lòng tin vốn có trong cộng đồng mã nguồn mở để phân phối các công cụ gián điệp được ngụy trang thành các tiện ích lành tính. Đây là một hình thức tấn công chuỗi cung ứng phần mềm đặc biệt nguy hiểm.
Giải pháp phòng thủ và Bảo vệ Chuỗi Cung ứng Phần mềm
Những phát hiện của Sonatype nhấn mạnh nhu cầu cấp bách đối với các tổ chức trong việc áp dụng các biện pháp bảo mật mạng mạnh mẽ. Mục tiêu là bảo vệ chuỗi cung ứng phần mềm của họ. Quy mô của chiến dịch này, cùng với sự tinh vi trong các chiến thuật đang phát triển của Lazarus, là một lời cảnh tỉnh cho toàn ngành.
Ngành cần ưu tiên xác minh các thành phần phụ thuộc, kiểm thử trong môi trường sandbox, và tăng cường giám sát các thành phần mã nguồn mở. Việc này là thiết yếu để giảm thiểu rủi ro an toàn thông tin.
Khi các tác nhân địa chính trị ngày càng nhắm mục tiêu vào hệ sinh thái phát triển phần mềm, việc bảo vệ các đường ống CI/CD và môi trường phát triển đã trở thành một tuyến phòng thủ quan trọng. Điều này giúp chống lại các mối đe dọa được nhà nước bảo trợ. Những mối đe dọa này tìm cách khai thác bối cảnh mã nguồn mở cho mục đích gián điệp và đánh cắp dữ liệu, đặc biệt là các cuộc tấn công chuỗi cung ứng phần mềm tinh vi.
