Phát hiện mã độc 'vô hình' trên GitHub, qua mặt các công cụ bảo mật truyền thống
Một chiến dịch tấn công chuỗi cung ứng mới đang lan tràn trên các kho mã nguồn như GitHub, sử dụng kỹ thuật 'mã lệnh vô hình' để che giấu các gói độc hại. Kỹ thuật này khiến cho việc phát hiện bằng mắt thường hay các công cụ bảo mật truyền thống trở nên gần như bất khả thi.
Các nhà nghiên cứu cho biết họ vừa phát hiện một cuộc tấn công chuỗi cung ứng đang lan tràn trên các kho mã nguồn với những gói độc hại chứa mã lệnh vô hình. Đây là một kỹ thuật tinh vi có khả năng vô hiệu hóa các biện pháp phòng thủ truyền thống được thiết kế để phát hiện những mối đe dọa tương tự.
Hôm thứ Sáu vừa qua, các nhà nghiên cứu từ công ty bảo mật Aikido Security cho biết họ đã tìm thấy 151 gói độc hại được tải lên GitHub từ ngày 3 đến ngày 9 tháng 3. Các cuộc tấn công chuỗi cung ứng dạng này đã phổ biến trong gần một thập kỷ. Chúng thường hoạt động bằng cách tải lên các gói mã độc có tên và mã nguồn gần giống với các thư viện mã được sử dụng rộng rãi, với mục tiêu đánh lừa các nhà phát triển để họ vô tình tích hợp chúng vào phần mềm của mình. Trong một số trường hợp, các gói độc hại này được tải xuống hàng nghìn lần.
Hệ thống phòng thủ 'bó tay', mã độc chỉ hiện nguyên hình khi giải mã
Các gói mã độc mà Aikido phát hiện trong tháng này đã áp dụng một kỹ thuật mới hơn: sử dụng có chọn lọc các đoạn mã không hiển thị khi được tải trong hầu hết các trình soạn thảo, cửa sổ dòng lệnh (terminal) và giao diện đánh giá mã nguồn (code review).
Trong khi phần lớn mã nguồn vẫn xuất hiện ở dạng thông thường, có thể đọc được, thì các hàm độc hại và payload (tải trọng độc hại) – những dấu hiệu đặc trưng của mã độc – lại được thể hiện bằng các ký tự Unicode vô hình đối với mắt người. Thủ đoạn này, được Aikido cho biết đã phát hiện lần đầu vào năm ngoái, khiến cho việc đánh giá mã nguồn thủ công và các biện pháp phòng thủ truyền thống khác gần như trở nên vô dụng. Các kho mã nguồn khác cũng bị ảnh hưởng trong các cuộc tấn công này bao gồm NPM và Open VSX.
Các gói độc hại này càng khó bị phát hiện hơn do chất lượng của những phần mã nguồn hữu hình là rất cao.
"Các đoạn mã độc được chèn vào không nằm trong những commit (lần cập nhật mã nguồn) trông đáng ngờ," các nhà nghiên cứu của Aikido viết. "Những thay đổi xung quanh chúng trông rất thực tế: tinh chỉnh tài liệu, cập nhật phiên bản, tái cấu trúc nhỏ và sửa các lỗi nhỏ hoàn toàn phù hợp với phong cách của từng dự án mục tiêu."
Các nhà nghiên cứu nghi ngờ rằng Glassworm – tên họ đặt cho nhóm tấn công – đang sử dụng các Mô hình Ngôn ngữ Lớn (LLM) để tạo ra các gói mã nguồn trông hợp pháp một cách thuyết phục này. "Với quy mô mà chúng tôi đang chứng kiến, việc tạo thủ công hơn 151 thay đổi mã nguồn riêng biệt trên các nền tảng mã khác nhau là điều không khả thi," họ giải thích. Một công ty bảo mật khác là Koi, cũng đang theo dõi nhóm này, cho biết họ cũng nghi ngờ nhóm đang sử dụng trí tuệ nhân tạo (AI).
Nguồn: Ars Technica Cloud
