-
06/04/2022
-
24
-
41 bài viết
Hàng loạt thư viện ảo xuất hiện trên NPM gây ra tấn công DoS
Những kẻ tấn công đang phát hành một loạt các thư viện mã nguồn mở với các gói không có thật trên NPM, điều đó thậm chí đã dẫn đến một cuộc tấn công từ chối dịch vụ (DoS) trong thời gian ngắn.
Jossef Harush Kadouri của Checkmarx cho biết: "Những kẻ tấn công đang tạo ra các trang web độc hại và xuất bản các gói trống có liên kết đến các trang web độc hại đó, lạm dụng danh tiếng của hệ sinh thái nguồn mở để tiếp cận tới người dùng."
"Việc phát hành hàng loạt các thư viện ảo đã dẫn đến một cuộc tấn công từ chối dịch vụ (DoS) khiến NPM không ổn định với các lỗi 'Dịch vụ không khả dụng'."
Mặc dù các chiến dịch tương tự đã được phát hiện gần đây, nhưng đợt tấn công mới nhất đã đẩy số lượng gói lên tới 1,42 triệu, một mức tăng đáng kể so với khoảng 800.000 gói hợp lệ được phát hành vào NPM.
Kỹ thuật tấn công tận dụng thực tế là các kho lưu trữ nguồn mở thường được xếp hạng cao trên kết quả của công cụ tìm kiếm, từ đó kẻ tấn công sẽ tạo ra các trang web giả mạo và tải lên các mô-đun NPM trống có liên kết đến các trang web đó trong tệp README.md.
Harush Kadouri giải thích: “Đối với các hệ sinh thái nguồn mở có độ uy tín cao, bất kỳ gói nguồn mở mới nào cũng đều được đánh giá cao trên các công cụ tìm kiếm, khiến chúng dễ tiếp cận hơn đối với những người dùng cả tin."
Do toàn bộ quá trình được tự động hóa nên payload được tạo ra do phát hành nhiều gói dẫn đến việc NPM không ổn định vào cuối tháng 3 năm 2023.
Checkmarx chỉ ra rằng có thể sẽ có rất nhiều tác nhân đứng sau hành động này, mục tiêu cuối cùng là lây nhiễm phần mềm độc hại vào hệ thống của nạn nhân như RedLine Stealer, Glupteba, SmokeLoader và các công cụ khai thác tiền điện tử.
Một số các liên kết khác đưa người dùng qua một loạt các trang trung gian và cuối cùng dẫn đến các trang web thương mại điện tử hợp pháp như AliExpress có ID giới thiệu, từ đó kiếm lợi nhuận cho họ khi nạn nhân mua hàng trên nền tảng. Một vài liên kết có liên quan đến việc mời người dùng Nga tham gia kênh Telegram chuyên về tiền điện tử.
Harush Kadouri cho biết: “Cuộc chiến chống lại những kẻ đầu độc hệ sinh thái chuỗi cung ứng phần mềm của chúng tôi gặp rất nhiều thách thức, khi những kẻ tấn công liên tục thích nghi và gây bất ngờ cho bằng các kỹ thuật mới."
Để ngăn chặn các chiến dịch tự động như vậy, Checmarx đã khuyến nghị NPM kết hợp các kỹ thuật chống bot trong quá trình tạo tài khoản người dùng.
Jossef Harush Kadouri của Checkmarx cho biết: "Những kẻ tấn công đang tạo ra các trang web độc hại và xuất bản các gói trống có liên kết đến các trang web độc hại đó, lạm dụng danh tiếng của hệ sinh thái nguồn mở để tiếp cận tới người dùng."
"Việc phát hành hàng loạt các thư viện ảo đã dẫn đến một cuộc tấn công từ chối dịch vụ (DoS) khiến NPM không ổn định với các lỗi 'Dịch vụ không khả dụng'."
Mặc dù các chiến dịch tương tự đã được phát hiện gần đây, nhưng đợt tấn công mới nhất đã đẩy số lượng gói lên tới 1,42 triệu, một mức tăng đáng kể so với khoảng 800.000 gói hợp lệ được phát hành vào NPM.
Kỹ thuật tấn công tận dụng thực tế là các kho lưu trữ nguồn mở thường được xếp hạng cao trên kết quả của công cụ tìm kiếm, từ đó kẻ tấn công sẽ tạo ra các trang web giả mạo và tải lên các mô-đun NPM trống có liên kết đến các trang web đó trong tệp README.md.
Harush Kadouri giải thích: “Đối với các hệ sinh thái nguồn mở có độ uy tín cao, bất kỳ gói nguồn mở mới nào cũng đều được đánh giá cao trên các công cụ tìm kiếm, khiến chúng dễ tiếp cận hơn đối với những người dùng cả tin."
Do toàn bộ quá trình được tự động hóa nên payload được tạo ra do phát hành nhiều gói dẫn đến việc NPM không ổn định vào cuối tháng 3 năm 2023.
Checkmarx chỉ ra rằng có thể sẽ có rất nhiều tác nhân đứng sau hành động này, mục tiêu cuối cùng là lây nhiễm phần mềm độc hại vào hệ thống của nạn nhân như RedLine Stealer, Glupteba, SmokeLoader và các công cụ khai thác tiền điện tử.
Một số các liên kết khác đưa người dùng qua một loạt các trang trung gian và cuối cùng dẫn đến các trang web thương mại điện tử hợp pháp như AliExpress có ID giới thiệu, từ đó kiếm lợi nhuận cho họ khi nạn nhân mua hàng trên nền tảng. Một vài liên kết có liên quan đến việc mời người dùng Nga tham gia kênh Telegram chuyên về tiền điện tử.
Harush Kadouri cho biết: “Cuộc chiến chống lại những kẻ đầu độc hệ sinh thái chuỗi cung ứng phần mềm của chúng tôi gặp rất nhiều thách thức, khi những kẻ tấn công liên tục thích nghi và gây bất ngờ cho bằng các kỹ thuật mới."
Để ngăn chặn các chiến dịch tự động như vậy, Checmarx đã khuyến nghị NPM kết hợp các kỹ thuật chống bot trong quá trình tạo tài khoản người dùng.
Nguồn: The Hacker News
Chỉnh sửa lần cuối bởi người điều hành: