Cảnh báo bảo mật: Hàng loạt gói npm của RedHatInsights bị cài mã độc

Cảnh báo bảo mật: Hàng loạt gói npm của RedHatInsights bị cài mã độc

Vừa đây, cộng đồng công nghệ đã giật mình trước thông báo về một lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến hệ sinh thái JavaScript. Theo đó, một lượng lớn các gói npm (Node Package Manager) thuộc về tổ chức RedHatInsights đã bị xâm phạm, phát tán mã độc qua các bản phát hành mới nhất.

Sự việc lần đầu được phát hiện và công bố bởi StepSecurity, một nền tảng chuyên giám sát bảo mật cho mã nguồn mở (OSS). Vấn đề này ảnh hưởng trực tiếp đến các gói nằm trong phạm vi @redhat-cloud-services, vốn được sử dụng rộng rãi trong các ứng dụng liên quan đến dịch vụ đám mây của Red Hat.

Diễn biến chi tiết

Theo báo cáo, kẻ tấn công đã nhúng mã độc vào các phiên bản cập nhật của hàng loạt thư viện khách hàng (client libraries) và các thành phần giao diện (frontend components). Khi các nhà phát triển vô tình cài đặt hoặc cập nhật lên các phiên bản bị nhiễm mã độc này, mã độc sẽ được thực thi trong môi trường xây dựng (build environment) hoặc runtime của ứng dụng.

Đây là một ví dụ điển hình của cuộc tấn công chuỗi cung ứng phần mềm (software supply chain attack), nơi kẻ tấn công nhắm vào các điểm phụ thuộc phổ biến thay vì tấn công trực tiếp vào hệ thống đích.

Các gói phần mềm bị ảnh hưởng

Danh sách các gói bị xâm phạm là khá lớn, bao gồm hơn 30 gói khác nhau. Dưới đây là một số gói chính nằm trong diện ảnh hưởng cùng với phiên bản bị lỗi:

• @redhat-cloud-services/chrome: Phiên bản 2.3.1
• @redhat-cloud-services/compliance-client: Phiên bản 4.0.3
• @redhat-cloud-services/config-manager-client: Phiên bản 5.0.4
• @redhat-cloud-services/frontend-components: Phiên bản 7.7.2
• @redhat-cloud-services/insights-client: Phiên bản 4.0.4
• @redhat-cloud-services/host-inventory-client: Phiên bản 5.0.3
• @redhat-cloud-services/rbac-client: Phiên bản 9.0.3

Ngoài ra còn nhiều gói khác như eslint-config-redhat-cloud-services, javascript-clients-shared, và các thành phần frontend-components-* khác cũng đều có phiên bản bị xâm phạm.

Hành động cần thực hiện ngay lập tức

Nếu bạn là nhà phát triển hoặc quản trị hệ thống đang sử dụng các gói npm từ RedHatInsights, hãy thực hiện ngay các bước sau để bảo vệ hệ thống:

1. Kiểm tra file package-lock.json hoặc yarn.lock: Xác xem dự án của bạn có đang sử dụng các phiên bản nêu trên hay không.
2. Cập nhật hoặc Downgrade: Ngay lập tức hạ cấp (downgrade) về phiên bản trước phiên bản bị nhiễm độc hoặc cập nhật lên bản vá lỗi mới nhất (nếu đã được phát hành).
3. Quét mã độc: Chạy quét bảo mật trên toàn bộ mã nguồn và môi trường build để đảm bảo không có dấu hiệu mã độc còn sót lại.
4. Xem xét khóa token: Nếu bạn nghi ngờ mã độc đã chạy và có thể truy cập được các biến môi trường hoặc token bảo mật, hãy thu hồi các khóa đó ngay lập tức.

Việc kiểm tra chặt chẽ các phụ thuộc (dependencies) là vô cùng quan trọng trong bối cảnh các cuộc tấn công chuỗi cung ứng đang ngày càng gia tăng. Hãy luôn theo dõi các thông báo bảo mật từ các thư viện mà bạn sử dụng.