Nhóm nghiên cứu mối đe dọa của Socket đã phát hiện một cuộc tấn công chuỗi cung ứng phần mềm mới sử dụng một loader mã độc có tên XORIndex, chưa từng được báo cáo trước đây. Phát hiện này đánh dấu sự gia tăng đáng kể trong các hoạt động tấn công mạng của Triều Tiên. Hoạt động này tiếp nối chiến dịch Contagious Interview đã được mô tả chi tiết vào tháng 6 năm 2025, liên quan đến HexEval Loader.
Quy Mô Tấn Công Chuỗi Cung Ứng và Mức Độ Lây Nhiễm
Các đối tượng tấn công, được cho là các tác nhân do nhà nước Triều Tiên hậu thuẫn, đã xâm nhập vào kho lưu trữ npm với 67 gói mã độc, thu về tổng cộng hơn 17.000 lượt tải xuống. Trong số này, 27 gói vẫn còn hoạt động, khiến đội ngũ bảo mật của npm phải đưa ra yêu cầu gỡ bỏ ngay lập tức và đình chỉ các tài khoản liên quan. Chiến dịch này thể hiện một mô hình “đập chuột chũi” dai dẳng, trong đó mỗi khi bị phát hiện, các biến thể mới sẽ nhanh chóng được tải lên với các chiến thuật được phát triển. Hoạt động song song, chiến dịch XORIndex đã thu hút hơn 9.000 lượt tải xuống trong khoảng thời gian từ tháng 6 đến tháng 7 năm 2025, trong khi HexEval tiếp tục với hơn 8.000 lượt tải xuống bổ sung.
Các loader này nhắm mục tiêu vào các nhà phát triển, người tìm việc và những người nắm giữ tiền điện tử, với mục đích đánh cắp thông tin xác thực nhạy cảm và dữ liệu ví thông qua một chuỗi các giai đoạn mã độc.
XORIndex và Chuỗi Tấn Công Kỹ Thuật
Chức Năng và Mục Tiêu Của XORIndex
XORIndex Loader, được đặt tên theo các chuỗi được mã hóa XOR và kỹ thuật che dấu dựa trên chỉ mục của nó, phản ánh chức năng của HexEval bằng cách thu thập siêu dữ liệu máy chủ như hostname, username, địa chỉ IP bên ngoài, vị trí địa lý và nền tảng trước khi giải mã và thực thi các script tiếp theo. Nó tìm nạp mã độc giai đoạn hai BeaverTail từ các điểm cuối C2 được mã hóa cứng, mà sau đó sẽ triển khai backdoor giai đoạn ba InvisibleFerret. Mã độc này hoạt động trên nhiều nền tảng bao gồm Windows, macOS và Linux trong hệ sinh thái Node.js, đặc biệt nhấn mạnh việc thực thi mã từ xa thông qua hàm eval() để phân phối payload.
BeaverTail: Kẻ Trộm Dữ Liệu Ví Tiền Điện Tử
BeaverTail quét gần 50 thư mục ví và đường dẫn tiện ích mở rộng trình duyệt, bao gồm MetaMask, Phantom và TronLink. Mã độc này lưu trữ các tệp nhạy cảm như keychain và dữ liệu seed JSON vào một tệp ZIP tạm thời để trích xuất đến các máy chủ HTTP dựa trên IP.
Diễn Biến và Sự Tiến Hóa Của XORIndex
Dòng thời gian của chiến dịch cho thấy các đợt triển khai từ tháng 4 đến tháng 7 năm 2025, với 39 gói HexEval mới và 28 biến thể XORIndex trong đợt gia tăng gần đây nhất. Việc theo dõi quá trình phát triển của XORIndex cho thấy sự tiến triển nhanh chóng từ các phiên bản prototype đến các loader tinh vi.
Lộ Trình Phát Triển Từ Prototype Đến Loader Hoàn Chỉnh
- Các phiên bản ban đầu: Ví dụ như
postcss-preloader, thiếu các kỹ thuật che dấu và trinh sát, chỉ tập trung vào việc gửi beacon đến C2 để thực thi mã từ xa. - Các biến thể chuyển tiếp: Ví dụ như
js-log-print, giới thiệu chức năng lập hồ sơ máy chủ bị lỗi. dev-filterjs: Bổ sung kỹ thuật che dấu chuỗi dựa trên bộ đệm ASCII sử dụngTextDecoder.- Các phiên bản trưởng thành: Tích hợp giải mã XOR, xoay vòng nhiều điểm cuối trên các đường dẫn
/api/ipcheckđược lưu trữ trên Vercel, và đường dẫneval()kép cho payload chính và phụ.
Cơ Sở Hạ Tầng Chia Sẻ và Kỹ Thuật Né Tránh
Cơ sở hạ tầng chung, bao gồm các điểm cuối như https://soc-log[.]vercel[.]app/api/ipcheck và 144[.]217[.]86[.]88, liên kết XORIndex với các hoạt động Contagious Interview trước đây, nhấn mạnh sự đầu tư của các tác nhân vào các cuộc tấn công chuỗi cung ứng có khả năng phục hồi cao.
Các Chỉ Số Compromise (IOCs)
Các chỉ số về cơ sở hạ tầng chung liên quan đến chiến dịch bao gồm:
- C2 Endpoint:
https://soc-log[.]vercel[.]app/api/ipcheck - C2 IP Address:
144[.]217[.]86[.]88
Sự tiến hóa này làm nổi bật các kỹ thuật né tránh ngày càng tăng, chẳng hạn như thực thi chỉ trong bộ nhớ và thiết kế mô-đun, làm phức tạp việc phát hiện. Các nhà phòng thủ phải đối mặt với các mối đe dọa liên tục khi các tác nhân đa dạng hóa bí danh npm, tái sử dụng mã độc như BeaverTail và nhắm mục tiêu vào các cá nhân có giá trị cao trong cộng đồng DevOps và mã nguồn mở.
Phòng Ngừa và Đối Phó
Để chống lại các cuộc tấn công này, việc thực hiện các biện pháp phòng thủ chuỗi cung ứng chủ động là điều cần thiết để giảm thiểu những cuộc xâm nhập do nhà nước bảo trợ và có động cơ tài chính này. Các khuyến nghị bao gồm sử dụng các công cụ quét theo thời gian thực như Ứng dụng GitHub và CLI của Socket để chặn các phụ thuộc độc hại trong quá trình cài đặt hoặc hợp nhất, cùng với việc sử dụng tiện ích mở rộng trình duyệt để đánh giá rủi ro trước khi cài đặt.
