FortiGuard Labs đã ghi nhận một xu hướng liên tục trong việc khai thác các kho lưu trữ phần mềm mã nguồn mở (OSS) nhằm phát tán mã độc. Đây là một hình thức tấn công chuỗi cung ứng phần mềm ngày càng phức tạp và đòi hỏi sự cảnh giác cao độ từ các tổ chức.
Mối Đe Dọa Từ Kho Lưu Trữ Mã Nguồn Mở
Khi các quy trình phát triển phụ thuộc ngày càng nhiều vào các gói phần mềm của bên thứ ba, các tác nhân đe dọa đang tận dụng triệt để các lỗ hổng trong các nền tảng như NPM và PyPI để chèn mã độc hại.
Mục tiêu chính của chúng là tạo điều kiện cho việc rò rỉ dữ liệu, gây ra thiệt hại trên diện rộng, và thiết lập quyền kiểm soát trái phép.
Việc sử dụng các gói phần mềm không được kiểm soát chặt chẽ có thể dẫn đến việc cài đặt mã độc open-source một cách âm thầm, khiến hệ thống gặp phải những rủi ro bảo mật nghiêm trọng.
Phát Hiện Và Phân Tích Các Chiến Thuật Khai Thác
FortiGuard đã áp dụng công nghệ phát hiện mã độc dựa trên AI độc quyền cùng với hệ thống giám sát thời gian thực. Điều này cho phép họ chủ động xác định các mối đe dọa mới nổi trong hệ sinh thái OSS.
Phân tích từ Quý 2 năm 2025 chỉ ra rằng các vector tấn công này vẫn giữ nguyên về phương pháp luận, với các chiến thuật cốt lõi tiếp tục được duy trì bất chấp nhận thức cao hơn về mối nguy hiểm.
Trong giai đoạn này, FortiGuard đã quét hơn 1.4 triệu gói NPM và 400.000 gói PyPI. Kết quả quét đã tiết lộ một lượng đáng kể các hiện vật độc hại, khẳng định mức độ phổ biến của các cuộc tấn công chuỗi cung ứng phần mềm.
Hành Vi Khai Thác Tiêu Biểu
Các hành vi chính được ghi nhận bao gồm việc rò rỉ dữ liệu thông qua các script cài đặt (setup hoặc install scripts). Thống kê từ hơn một nghìn trường hợp được xác nhận cho thấy tỷ lệ cao các trường hợp có số lượng tệp thấp, không có kho lưu trữ liên kết, và sử dụng rộng rãi kỹ thuật che giấu mã (obfuscated code).
Những kỹ thuật che giấu này được thiết kế tinh vi để giảm thiểu dấu vết phát hiện, trốn tránh khả năng truy xuất nguồn gốc, và thực thi payload một cách lén lút trong quá trình cài đặt.
So với các quý trước, có sự gia tăng đáng kể về các lớp che giấu được sử dụng. Điều này nhấn mạnh nỗ lực liên tục của kẻ tấn công nhằm làm phức tạp quá trình phân tích tĩnh và động, khiến việc nhận diện mã độc open-source trở nên khó khăn hơn.
Các Trường Hợp Khai Thác Cụ Thể Từ PyPI Và NPM
Một số gói PyPI cụ thể là ví dụ điển hình cho các chiến thuật này, minh họa rõ nét về chiến thuật khai thác PyPI NPM:
- simple-mali-pkg-0.1.0
- confighum-0.3.5
- sinontop-utils-0.3.5
- solana-sdkpy-1.2.5
- solana-sdkpy-1.2.6
Các hiện vật độc hại này sử dụng việc thực thi script cài đặt, ghi đè lệnh, cấu trúc tệp tối thiểu, và mã hóa nhiều lớp. Mục đích là để che giấu các hoạt động đánh cắp thông tin xác thực và ví tiền điện tử của nạn nhân.
Phân Tích Chi Tiết simple-mali-pkg-0.1.0
Trong trường hợp của gói simple-mali-pkg-0.1.0, tệp setup.py độc hại của nó sẽ kích hoạt một script mali.py đáng ngờ. Script này được bảo vệ bởi hàng chục lớp mã hóa.
Khi được giải mã, mali.py phơi bày các hàm được thiết kế để nhắm mục tiêu vào dữ liệu cá nhân, thông tin xác thực trình duyệt, và ví tiền điện tử của người dùng.
Mẫu hình tấn công này phù hợp với các xu hướng rộng hơn, nơi các tác nhân đe dọa ưu tiên triển khai nhanh chóng và âm thầm. Mục đích là để thu thập thông tin nhạy cảm mà không gây báo động cho người dùng, một dấu hiệu của các tấn công chuỗi cung ứng phần mềm tinh vi.
Phân Tích Chi Tiết postcss-theme-vars-7.0.7 (NPM)
Tương tự, gói NPM postcss-theme-vars-7.0.7 phản ánh các phương pháp tiếp cận tương tự thông qua việc sử dụng JavaScript bị che giấu.
Mã độc này được ẩn trong một tệp đánh lừa có tên test-samples.dat, mạo danh các thư viện PostCSS hợp pháp để tránh bị phát hiện.
Quá trình giải mã tiết lộ các quy trình tinh vi được thiết kế để đánh cắp hồ sơ trình duyệt (ví dụ: Chrome và Brave), mật khẩu đã lưu, dữ liệu tự động điền, cấu hình tiện ích mở rộng, và các tài liệu nhạy cảm.
Bên cạnh đó, nó còn thực hiện các hoạt động giám sát như ghi lại thao tác bàn phím (keylogging), chụp màn hình, và giám sát clipboard của nạn nhân.
Dữ liệu bị đánh cắp được rò rỉ thông qua kết nối socket đến các máy chủ do kẻ tấn công kiểm soát. Điều này làm nổi bật sự dai dẳng của các chiến dịch trước đây, chẳng hạn như những chiến dịch được liên kết với các nhóm APT Triều Tiên.
Phòng Chống Các Cuộc Tấn Công Chuỗi Cung Ứng Phần Mềm
Những ví dụ trên minh họa rõ ràng cách các tác nhân đe dọa thích nghi các phương pháp đã được chứng minh, như mạo danh mã và kỹ thuật né tránh hành vi. Mục tiêu là để duy trì hiệu quả trong bối cảnh OSS đang phát triển không ngừng.
Phát hiện của FortiGuard Labs trong Quý 2 năm 2025 khẳng định bản chất dai dẳng của các mối đe dọa chuỗi cung ứng OSS. Kẻ tấn công vẫn dựa vào việc rò rỉ dữ liệu một cách kín đáo và che giấu để khai thác bề mặt tấn công ngày càng mở rộng.
Để đối phó với nguy cơ này, các tổ chức được khuyến nghị tăng cường khả năng phòng thủ. Điều này bao gồm việc triển khai giám sát chặt chẽ, nâng cao nhận thức về rủi ro phụ thuộc vào thư viện bên ngoài, và tích hợp các công cụ quét nâng cao.
Biện Pháp Bảo Vệ Toàn Diện
Fortinet cung cấp các biện pháp bảo vệ mạnh mẽ để chống lại các loại hình tấn công này. Chúng bao gồm các tính năng phát hiện AntiVirus cho các gói phần mềm độc hại được xác định và Web Filtering để chặn các URL liên quan đến hoạt động của chúng.
Ngoài ra, các dịch vụ như FortiDevSec đóng vai trò quan trọng trong việc ngăn chặn các phần phụ thuộc độc hại ngay từ các quy trình phát triển. Điều này giúp ngăn chặn các mã độc open-source xâm nhập vào chuỗi cung ứng ngay từ đầu.
Đối với các trường hợp nghi ngờ vi phạm an ninh, việc liên hệ ngay lập tức với các đội ứng phó sự cố được khuyến nghị. Hành động kịp thời sẽ giúp giảm thiểu tối đa tác động và thiệt hại từ các tấn công chuỗi cung ứng phần mềm.
