Hacker Bắc Triều Tiên tiếp tục nhắm vào các nhà bảo trì Node.js hàng đầu

Hacker Bắc Triều Tiên tiếp tục nhắm vào các nhà bảo trì Node.js hàng đầu

Nhóm hacker UNC1069 liên quan đến Bắc Triều Tiên đang mở rộng chiến dịch tấn công chuỗi cung ứng, nhắm vào các nhân vật nổi bật trong cộng đồng Node.js bằng kỹ thuật kỹ thuật xã hội tinh vi. Chiến dịch giả vờ tuyển dụng này nhằm cài đặt mã độc lên máy tính của các chuyên gia phát triển phần mềm.

Theo báo cáo của Socket, tác nhân đe dọa đứng sau cuộc tấn công chuỗi cung ứng Axios đã hướng các chiến dịch kỹ thuật xã hội của mình đến nhiều nhà bảo trì Node.js khác nhau. Vụ việc Axios diễn ra vào ngày 31 tháng 3, khi hai phiên bản gói độc hại được phát hành lên registry NPM. Dù chúng đã bị gỡ bỏ khoảng ba giờ sau đó, nhưng ước tính đã có hơn 3 triệu người dùng cài đặt chúng.

Hacker Bắc Triều Tiên

Chiến thuật tấn công tinh vi

Trong một bài phân tích sau sự cố (postmortem), Jason Saayman, nhà bảo trì chính của Axios, giải thích rằng hacker đã nhiễm backdoor (cửa sau) vào máy tính của ông khoảng hai tuần trước đó. Kẻ tấn công sử dụng các chiến thuật kỹ thuật xã hội đã từng được quan sát thấy trong các chiến dịch DeceptiveDevelopment, Operation Dream Job, Contagious Interview và ClickFake Interview.

Quy trình thường diễn ra như sau: Sau khi mời nạn nhân vào không gian làm việc trên Slack, hacker sẽ lên lịch một cuộc họp trên Microsoft Teams. Khi tham gia cuộc họp, người bảo trì sẽ nhận được thông báo lỗi và được hướng dẫn cài đặt một bản cập nhật giả mạo. Thao tác này sẽ lây nhiễm hệ thống của họ bằng phần mềm truy cập từ xa (RAT).

Môi trường bảo mật

Các mục tiêu lớn trong cộng đồng mã nguồn mở

Nhóm hacker UNC1069 hiện đang sử dụng các chiến thuật tương tự trong một chiến dịch nhắm vào nhiều nhà bảo trì Node.js nổi tiếng. Các nạn nhân bao gồm CEO của Socket Feross Aboukhadijeh, một số kỹ sư của Socket, thành viên Nhóm công tác Bảo trì Gói Node (Wes Todd), đồng sáng lập kiêm CTO của Platformatic (Matteo Collina), người tạo ra Dotenv (Scott Motte), và người đóng góp cho Nhóm công tác An ninh Node.js (Ulises Gascón).

Socket cho biết những cá nhân bị nhắm mục tiêu này duy trì hàng trăm gói NPM với hàng tỷ lượt tải xuống. Tất cả đều báo cáo về một cuộc tấn công kỹ thuật xã hội tương tự như trường hợp của Saayman.

Cảnh báo từ chuyên gia

Chiến dịch này có khả năng được triển khai trong nhiều tuần, với sự chú tâm đến từng chi tiết để khiến các mồi nhử trở nên thuyết phục nhất có thể. Kẻ tấn công xây dựng cơ sở hạ tầng cuộc họp có vẻ hợp pháp và thiết lập niềm tin trước khi lừa các nạn nhân thực thi mã độc.

"Hoạt động này mất nhiều tuần để thực hiện và được thiết kế có chủ đích để cảm thấy không có gì đáng nghi ngờ. Kẻ tấn công xây dựng mối quan hệ theo thời gian, lên lịch các cuộc gọi trước và dời lịch, cư xử với sự chuyên nghiệp của một liên hệ kinh doanh hợp pháp," Socket lưu ý.

Vào tháng 2, Google đã cảnh báo rằng UNC1069 đã sử dụng các chiến thuật tương tự trong các cuộc tấn công nhắm vào các công ty DeFi, thực thể tiền điện tử và các công ty đầu tư mạo hiểm.

Nhà nghiên cứu bảo mật Tay đã bình luận trong chuỗi bài phân tích sau sự cố của Axios: "Tôi khuyên mạnh mẽ cộng đồng những người duy trì OSS nên coi vấn đề này rất nghiêm túc. Các nhân vật và kênh cụ thể được sử dụng cho cuộc tấn công này đang được điều tra và gỡ bỏ. Nhưng còn nhiều cái khác. Nhiều cái hơn nữa. Hãy báo cáo chúng. Hãy nói về chúng. Hãy chia sẻ chúng. Đây không phải là cuộc tấn công lừa đảo (phishing) điển hình của bạn."

Tháng trước, các nhà nghiên cứu cũng đã liên kết một cuộc tấn công chuỗi cung ứng khác là Polyfill, ảnh hưởng đến hơn 100.000 trang web, với các hacker Bắc Triều Tiên.