WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Hacker có thể 'tự động hóa hoàn toàn' các cuộc tấn công chuỗi cung ứng NPM
Checkmarx vừa lên tiếng cảnh báo về việc hacker có thể tự động hóa hoàn toàn việc tạo và phân phối ‘hàng trăm gói độc hại’ vào hệ sinh thái NPM.
Cảnh báo được đưa ra sau khi Snyk phát hiện ‘sự phá hoại có chủ ý’ các trình quản lý gói NPM và dấy lên những lo ngại mới về các mối đe dọa tấn công chuỗi cung ứng phần mềm.
Theo đó, một tác nhân đe dọa được gán mác RED-LILI đã “hoàn toàn tự động hóa” quá trình tạo tài khoản NPM để khởi động các cuộc tấn công dependency confusion khó phát hiện.
“Theo thông lệ, những kẻ tấn công sử dụng tài khoản NPM ẩn danh dùng một lần để khởi động các cuộc tấn công. Có vẻ như lần này, kẻ tấn công đã hoàn toàn tự động hóa quá trình tạo tài khoản NPM và đã mở các tài khoản chuyên dụng, mỗi tài khoản một gói, khiến cho các gói độc hại mới khó bị phát hiện hơn. Kẻ tấn công hiện vẫn đang hoạt động và tiếp tục xuất bản các gói độc hại”, Checkmarx cho biết.
Nhóm của Checkmarx đã quan sát thấy kẻ tấn công xuất bản khoảng 800 gói, hầu hết trong số đó có một tài khoản người dùng duy nhất trên mỗi gói, chỉ trong khoảng một tuần.
“Mặc dù các tên gói được chọn bài bản, tên của người dùng xuất bản chúng lại là các chuỗi được tạo ngẫu nhiên, chẳng hạn như ‘5t7crz72’ và ‘d4ugwerp’. Điều này không phổ biến đối với các cuộc tấn công tự động mà chúng tôi thấy. Thông thường, những kẻ tấn công tạo ra một người dùng duy nhất và phát động tấn công thông qua đó. Từ hành vi này, chúng tôi có thể kết luận rằng kẻ tấn công đã xây dựng quy trình tự động hóa từ đầu đến cuối, bao gồm đăng ký người dùng và vượt qua các thách thức về OTP”.
Công ty đã chia sẻ danh sách đầy đủ các gói độc hại trong tài liệu về các cuộc tấn công và cảnh báo rằng việc kẻ tấn công có khả năng tự động hóa hoàn toàn - và ẩn - các gói NPM độc hại là một dấu hiệu đáng lo ngại.
Theo Checkmarx, cho đến khi sự cố này xảy ra, công ty thấy rằng hầu hết kẻ tấn công xuất bản các tải trọng độc hại trên quy mô lớn đang thực hiện những điều này một cách bán tự động. Trong khi đó, kẻ này đang làm điều đó hoàn toàn tự động.
Năm ngoái, hệ sinh thái NPM bị ảnh hưởng bởi một số sự cố bảo mật lớn, bao gồm việc phát hiện ra phần mềm độc hại trong một số gói NPM phổ biến và xác nhận các lỗi bảo mật lớn trong mã được triển khai rộng rãi.
Cảnh báo được đưa ra sau khi Snyk phát hiện ‘sự phá hoại có chủ ý’ các trình quản lý gói NPM và dấy lên những lo ngại mới về các mối đe dọa tấn công chuỗi cung ứng phần mềm.
Theo đó, một tác nhân đe dọa được gán mác RED-LILI đã “hoàn toàn tự động hóa” quá trình tạo tài khoản NPM để khởi động các cuộc tấn công dependency confusion khó phát hiện.
“Theo thông lệ, những kẻ tấn công sử dụng tài khoản NPM ẩn danh dùng một lần để khởi động các cuộc tấn công. Có vẻ như lần này, kẻ tấn công đã hoàn toàn tự động hóa quá trình tạo tài khoản NPM và đã mở các tài khoản chuyên dụng, mỗi tài khoản một gói, khiến cho các gói độc hại mới khó bị phát hiện hơn. Kẻ tấn công hiện vẫn đang hoạt động và tiếp tục xuất bản các gói độc hại”, Checkmarx cho biết.
Nhóm của Checkmarx đã quan sát thấy kẻ tấn công xuất bản khoảng 800 gói, hầu hết trong số đó có một tài khoản người dùng duy nhất trên mỗi gói, chỉ trong khoảng một tuần.
“Mặc dù các tên gói được chọn bài bản, tên của người dùng xuất bản chúng lại là các chuỗi được tạo ngẫu nhiên, chẳng hạn như ‘5t7crz72’ và ‘d4ugwerp’. Điều này không phổ biến đối với các cuộc tấn công tự động mà chúng tôi thấy. Thông thường, những kẻ tấn công tạo ra một người dùng duy nhất và phát động tấn công thông qua đó. Từ hành vi này, chúng tôi có thể kết luận rằng kẻ tấn công đã xây dựng quy trình tự động hóa từ đầu đến cuối, bao gồm đăng ký người dùng và vượt qua các thách thức về OTP”.
Công ty đã chia sẻ danh sách đầy đủ các gói độc hại trong tài liệu về các cuộc tấn công và cảnh báo rằng việc kẻ tấn công có khả năng tự động hóa hoàn toàn - và ẩn - các gói NPM độc hại là một dấu hiệu đáng lo ngại.
Theo Checkmarx, cho đến khi sự cố này xảy ra, công ty thấy rằng hầu hết kẻ tấn công xuất bản các tải trọng độc hại trên quy mô lớn đang thực hiện những điều này một cách bán tự động. Trong khi đó, kẻ này đang làm điều đó hoàn toàn tự động.
Năm ngoái, hệ sinh thái NPM bị ảnh hưởng bởi một số sự cố bảo mật lớn, bao gồm việc phát hiện ra phần mềm độc hại trong một số gói NPM phổ biến và xác nhận các lỗi bảo mật lớn trong mã được triển khai rộng rãi.
Theo Security Week
Chỉnh sửa lần cuối bởi người điều hành: