Tin tức bảo mật mới nhất cho thấy tội phạm mạng đã khai thác một tính năng của GitHub để lừa các nhà phát triển tải xuống phần mềm độc hại. Cuộc tấn công mạng này ngụy trang thành trình cài đặt GitHub Desktop giả mạo, nhắm vào người dùng với độ tinh vi cao.
Chiến dịch này chủ yếu nhắm mục tiêu vào người dùng ở Châu Âu và Khu vực Kinh tế Châu Âu từ tháng 9 đến tháng 10 năm 2025, sau đó lây lan sang Nhật Bản và các khu vực khác. Mã độc, được ngụy trang dưới dạng công cụ phát triển tiêu chuẩn, đặt ra mối đe dọa nghiêm trọng cho các nhà phát triển phụ thuộc vào GitHub.
Kỹ thuật Repo Squatting và Khai thác GitHub
Chuỗi tấn công bắt đầu khi tội phạm tạo các tài khoản GitHub dùng một lần và fork (rẽ nhánh) kho lưu trữ GitHub Desktop chính thức. Sau đó, chúng sửa đổi các liên kết tải xuống trong tệp README để trỏ đến trình cài đặt độc hại của chúng thay vì bản gốc.
Để tăng cường mức độ tiếp cận, những kẻ tấn công sử dụng quảng cáo được tài trợ, nhắm mục tiêu vào các tìm kiếm cho “GitHub Desktop”. Điều này giúp chúng quảng bá các tệp bị nhiễm đến các nhà phát triển một cách hiệu quả.
Tội phạm khai thác một tính năng trong thiết kế của GitHub cho phép các commit từ các kho lưu trữ đã fork vẫn hiển thị dưới namespace của kho lưu trữ chính thức. Điều này xảy ra ngay cả sau khi fork gốc hoặc tài khoản bị xóa.
Kỹ thuật này, được gọi là repo squatting, làm cho GitHub gặp khó khăn cực kỳ trong việc theo dõi và xóa nội dung độc hại. Các nhà phân tích của GMO Cybersecurity đã xác định rằng đây là một mối đe dọa đang diễn ra và liên tục thích ứng.
Chi tiết về Mã độc và Phương thức lây nhiễm
Trình cài đặt Windows độc hại được phát hiện bởi các nhà nghiên cứu có tên là GitHubDesktopSetup-x64.exe, với kích thước tệp là 127.68 megabyte. Đây là một trình tải đa tầng (multi-stage loader) phức tạp.
Các mẫu độc hại tương tự đã được phát hiện dưới dạng trình cài đặt của các ứng dụng khác như Chrome, Notion, 1Password và Bitwarden, có từ tháng 5 năm 2025. Điều này cho thấy phạm vi của chiến dịch tấn công mạng này rất rộng.
Cơ chế lây nhiễm của mã độc này cho thấy sự lừa đảo kỹ thuật tinh vi. Mặc dù trình cài đặt độc hại xuất hiện như một ứng dụng C++ tiêu chuẩn, nhưng phân tích thông tin debug của nó tiết lộ rằng đây thực chất là một ứng dụng .NET được đóng gói thành một tệp thực thi duy nhất gọi là AppHost.
Payload .NET độc hại thực sự ẩn trong phần overlay của tệp, khiến nó vô hình đối với các công cụ quét đơn giản. Đây là một chiến thuật để né tránh các biện pháp bảo mật GitHub thông thường và các công cụ phát hiện.
Kỹ thuật Chống Phân tích GPUGate
Một điểm đáng lo ngại đặc biệt là mã độc này tích hợp một API dựa trên GPU có tên là OpenCL. Mục đích là để cố ý ngăn chặn việc phân tích trong các môi trường sandbox tiêu chuẩn.
Hầu hết các sandbox kiểm thử bảo mật và máy ảo đều thiếu trình điều khiển GPU hoặc hỗ trợ OpenCL. Điều này buộc các nhà nghiên cứu bảo mật phải tiến hành phân tích trên các máy vật lý thực tế có phần cứng đồ họa để hiểu hành vi thực sự của mã độc.
Kỹ thuật này, được mệnh danh là GPUGate, đại diện cho một biện pháp bảo vệ chống phân tích được thiết kế có chủ đích. Nó nhằm làm chậm quá trình điều tra của các nhà nghiên cứu bảo mật. Khả năng né tránh các môi trường kiểm thử truyền thống làm tăng nguy cơ của cuộc tấn công mạng này.
Ngoài ra, mã độc còn cố ý sử dụng các chiến thuật chuyển hướng mã. Điều này nhằm gây nhầm lẫn cho các nhà phân tích khi cố gắng khôi phục các khóa giải mã một cách tĩnh. Điều này cản trở nỗ lực phát hiện xâm nhập và phân tích.
Chiến dịch này cho thấy sự phát triển liên tục của các mối đe dọa kỹ thuật số. Việc khai thác các tính năng nền tảng và sử dụng kỹ thuật chống phân tích tiên tiến là những thách thức lớn đối với an ninh mạng toàn cầu. Các nhà phát triển và tổ chức cần tăng cường cảnh giác đối với các tấn công mạng tương tự.
