Hai cuộc tấn công chuỗi cung ứng nhắm vào công cụ mã nguồn mở: Bài học về tương lai của an ninh phần mềm

Hai cuộc tấn công chuỗi cung ứng vào tháng 3 đã lây nhiễm mã độc vào các công cụ mã nguồn mở và sử dụng quyền truy cập này để đánh cắp bí mật từ hàng chục nghìn tổ chức. Chúng ta sẽ cần nhiều tháng nữa mới có thể biết được toàn bộ mức độ thiệt hại.

Cả hai cuộc tấn công đều nhắm vào các dự án mã nguồn mở phổ biến được sử dụng bởi vô số tổ chức và được tích hợp vào countless sản phẩm phần mềm, ứng dụng và môi trường phát triển.

Đầu tiên, kẻ tấn công nhắm vào Trivy, một trình quét lỗ hổng bảo mật với hơn 100.000 người dùng và người đóng góp, được nhúng trong hàng nghìn quy trình CI/CD. Tiếp theo là Axios, một thư viện JavaScript mã nguồn mở có khoảng 100 triệu lượt tải xuống hàng tuần và hoạt động trong 80% môi trường đám mây và mã nguồn.

"Cả hai chiến dịch này có thể sẽ kéo dài trong vài tháng," Charles Carmakal, CTO của Mandiant Consulting, chia sẻ. "Dữ liệu bị đánh cắp vài tuần trước có thể sẽ được khai thác trong tuần này, tuần sau, tháng sau - có thể là trong vài tháng - và bán kính phá hủy sẽ tiếp tục mở rộng."

Mô hình của các cuộc tấn công chuỗi cung ứng trong tương lai

Mặc dù được thực hiện bởi các nhóm tấn công khác nhau - Axios bởi những kẻ liên quan đến Triều Tiên, và Trivy bởi một nhóm lỏng lẻo gọi là TeamPCP - nhưng cả hai đều có mục tiêu cuối cùng tương tự, sự hiểu biết sâu sắc về môi trường phát triển và kỹ năng kỹ thuật xã hội tiên tiến. Theo các chuyên gia bảo mật, các sự cố này cho thấy tương lai của các cuộc tấn công chuỗi cung ứng.

"Chúng ta thấy ngày càng nhiều nhà phát triển bị nhắm mục tiêu bởi loại hoạt động này," Nick Biasini, trưởng bộ phận truyền thông của Cisco Talos, cho biết. "Kẻ tấn công bắt đầu thực sự nhìn vào chuỗi cung ứng và các gói mã nguồn mở, và tìm cách xâm phạm nhà phát triển để phân phối mã độc hoặc thu thập dữ liệu, tùy thuộc vào loại hình mối đe dọa."

Biasini bổ sung rằng hoạt động này sẽ trở nên thường xuyên hơn khi kẻ tấn công sử dụng AI để làm cho các chiến dịch kỹ thuật xã hội của chúng trở nên đáng tin cậy hơn và được cá nhân hóa siêu cấp cho những người và tổ chức mục tiêu.

"Trong thế giới ngày nay, với AI và các hình ảnh công khai mà mọi người duy trì, việc xây dựng các cuộc tấn công ngày càng dễ dàng," ông nói. "Nếu có nhiều tiền liên quan, sẽ có nhiều người chạy đến để kiếm lời. Vì vậy, với sự thành công này, tôi mong đợi sẽ thấy nhiều hơn nữa."

Trivy: Trình quét lỗ hổng làm véc-tơ tấn công ban đầu

TeamPCP đã xâm phạm Trivy, một trình quét lỗ hổng mã nguồn mở được bảo trì bởi Aqua Security vào cuối tháng 2, sau đó tiêm mã độc đánh cắp thông tin xác thực vào trình quét vào ngày 16 tháng 3 thông qua tệp nhị phân, GitHub Actions và hình ảnh container. Mã độc này đã thu gom các bí mật CI/CD, thông tin xác thực đám mây, khóa SSH và tệp cấu hình Kubernetes, đồng thời cài đặt các cửa sau (backdoor) liên tục trên máy của nhà phát triển. Nó cũng cung cấp cho kẻ tấn công một véc-tơ truy cập ban đầu vào một số công cụ mã nguồn mở khác.

Sau đó, vào ngày 23 tháng 3, cùng nhóm này đã sử dụng các bí mật CI/CD bị đánh cắp từ vụ xâm nhập Trivy để tiêm cùng một mã độc vào công cụ phân tích tĩnh mã nguồn mở KICS, được bảo trì bởi Checkmarx. Vài ngày sau, TeamPCP đã xuất bản các phiên bản độc hại của LiteLLM và Telnyx lên Python Package Index (PyPI), cả hai đều sử dụng Trivy trong quy trình CI/CD của mình.

"Tôi nghĩ họ đã cố tình nhắm vào các công cụ bảo mật," Ben Read, người đứng đầu nhóm tình báo đe dọa mạng tại Wiz, nhận định. "Có thể họ muốn thách thức người khác hoặc họ thấy một cơ hội thị trường vì những điều kỳ lạ xảy ra trong môi trường bảo mật và chúng không được giám sát chặt chẽ như các nơi khác. Nhưng bức tranh lớn hơn là: Thứ này rất dễ tiếp cận."

TeamPCP: Phong cách "đánh nhanh thắng nhanh"

TeamPCP, nhóm đứng sau các cuộc tấn công chuỗi cung ứng Trivy và các công cụ khác, lần đầu tiên xuất hiện trên thị trường tội phạm mạng vào cuối năm 2025, nhắm vào môi trường đám mây trong các hoạt động đánh cắp dữ liệu và tống tiền.

Phong cách của họ rất giống "đánh nhanh thắng nhanh" (smash-and-grab). Chủ yếu là về tốc độ, chỉ cần lấy mọi thứ và thoát ra nhanh chóng.

Các nhà nghiên cứu tại Flare, một nhà cung cấp quản lý rủi ro đe dọa, là những người đầu tiên cảnh báo về TeamPCP. Vào tháng 12, Flare đã mô tả chi tiết cách nhóm hacker này khai thác các API Docker, API Kubernetes, bảng điều khiển Ray, máy chủ Redis và ứng dụng React/Next.js bị cấu hình sai. Sau khi xâm phạm một khối lượng công việc, tội phạm sử dụng quyền truy cập đó để di chuyển ngang qua toàn bộ cụm (cluster), kiếm tiền từ dữ liệu bị đánh cắp để đổi lấy tiền chuộc và sử dụng cơ sở hạ tầng bị lộ để đào tiền điện tử, mạng proxy, quét và lưu trữ dữ liệu.

Các nhà nghiên cứu bảo mật tin rằng TeamPCP là một nhóm lỏng lẻo gồm những người trẻ, chủ yếu là người nói tiếng Anh được truyền cảm hứng bởi văn hóa người có ảnh hưởng và các xu hướng trên YouTube. Những kẻ xấu thích khoe khoang về các cuộc khai thác của chúng trên các kênh Telegram và Discord, một đặc điểm chúng chia sẻ với các băng đảng tấn công khác như The Com, Lapsus$, Scattered Spider và ShinyHunters.

"Họ rõ ràng được truyền cảm hứng bởi phong cách giao tiếp của Lapsus$," Read nói, lưu ý rằng nhóm này chỉ đến một video Rickroll trong tên miền độc hại của họ và ẩn một thông điệp bí mật nói "cảm ơn vì không phải là một nhà nghiên cứu vibe" trong cơ sở hạ tầng chỉ huy và kiểm soát dựa trên blockchain của họ.

"Họ biết mọi người đang theo dõi họ, và họ đang dựa vào điều đó, cố gắng tạo ra hình ảnh này về chính họ," ông thêm vào.

Hơn nữa, như các cuộc tấn công vào tháng 12 và sau đó là vụ xâm phạm Trivy đã cho thấy, TeamPCP "chắc chắn hiểu rất rõ môi trường phát triển," Read nói. "Và họ rõ ràng đang dựa vào các LLM để phát triển một phần mã của họ."

Môi trường phát triển có xu hướng được tài liệu hóa tốt - và điều này phù hợp với việc sử dụng LLM để hỗ trợ tìm các cấu hình sai, cũng như viết và tiêm mã độc vào các gói phần mềm.

"Phong cách của họ rất là 'đánh nhanh thắng nhanh'," trong cả bốn sự cố xâm phạm mã nguồn mở, Read nói. "Trong tất cả các trường hợp, chúng bị phát hiện trong vòng chưa đầy 12 giờ. Chúng không cố gắng che giấu mọi thứ hoặc tìm một thứ có giá trị và lặng lẽ rút đi. Nó chủ yếu là về tốc độ, chỉ cần lấy mọi thứ và thoát ra nhanh chóng."

Hơn 10.000 tổ chức có thể bị ảnh hưởng

Ngay cả khi cuộc tấn công không tinh tế, nó vẫn tích lũy được một khối lượng thông tin xác thực khổng lồ - "lớn đến mức kẻ đối thủ bắt đầu tìm kiếm sự hỗ trợ từ nhiều tác nhân đe dọa khác để làm điều gì đó với các thông tin xác thực bị đánh cắp," Carmakal nói.

Tổng cộng, TeamPCP đã đánh cắp thông tin xác thực của hơn 10.000 tổ chức, theo Carmakal, mặc dù điều đó không nhất thiết có nghĩa là họ đã xâm phạm thành công nhiều môi trường như vậy để đánh cắp dữ liệu hoặc thực hiện các hành vi độc hại khác.

"Hơn 10.000 tổ chức có thể đã bị ảnh hưởng," ông nói. "Thật thú vị và khá đáng báo động khi thấy bao nhiêu thông tin xác thực những người này đã lấy được thành công từ một loạt các điểm cuối xâm phạm."

Carmakal nghi ngờ nhóm này chưa chấm dứt cuộc điên cuồng của mình. "Chúng tôi đánh giá rằng tác nhân đe dọa, miễn là họ tiếp tục khai thác các thông tin xác thực và bí mật này, họ có thể sẽ tiếp tục xâm phạm nhiều môi trường hơn," ông nói. "Khi họ xâm phạm nhiều môi trường hơn, họ sẽ nhận được nhiều bí mật, nhiều thông tin xác thực hơn và tiếp tục cho đến khi họ chọn dừng lại, hoặc cơ quan thực thi pháp luật hành động, hoặc có một số hoạt động gián đoạn khác xảy ra."

Axios: Cuộc tấn công trong một thiên hà mã nguồn mở khác

Sau đó, chỉ hai tuần sau Trivy, một cuộc tấn công chuỗi cung ứng khác đã nhắm vào một thư viện mã nguồn mở khác.

Vào ngày 31 tháng 3, Axios, một trong những thư viện máy khách HTTP được sử dụng rộng rãi nhất trên npm, đã trở thành phương tiện phân phối mã độc trong khoảng ba giờ sau khi kẻ tấn công chiếm đoạt tài khoản của người bảo trì và lén lút đưa một Trojan truy cập từ xa (RAT) vào hai bản phát hành có vẻ hợp pháp.

Nhóm Tình báo Đe dọa của Google đã quy cuộc tấn công này cho một tác nhân đe dọa Triều Tiên bị nghi ngờ mà họ theo dõi với tên gọi UNC1069.

"Hacker Triều Tiên có kinh nghiệm sâu sắc về các cuộc tấn công chuỗi cung ứng, mà họ đã sử dụng trong lịch sử để đánh cắp tiền điện tử," John Hultquist, nhà phân tích trưởng của GTIG, nói vào thời điểm đó. "Phạm vi đầy đủ của sự việc này vẫn chưa rõ ràng, nhưng xét đến độ phổ biến của gói bị xâm phạm, chúng tôi dự kiến nó sẽ có tác động rộng lớn."

Người bảo trì chính của Axios, Jason Saayman, sau đó đã đăng một bài phân tích hậu kiểm chi tiết và nói rằng chiến thuật phản ánh phân tích tháng 2 của Google về UNC1069 và việc sử dụng kỹ thuật xã hội được hỗ trợ bởi AI để nhắm vào các công ty tiền điện tử bằng mã độc tùy chỉnh.

Những kẻ tấn công đã liên hệ với Saayman giả vờ là người sáng lập công ty - sau khi tạo ra một bản sao kỹ thuật số của công ty thực và những người sáng lập của nó. Họ cũng xây dựng một không gian làm việc Slack thực tế, hoàn chỉnh với hồ sơ nhân viên và bài đăng, sau đó mời Saayman tham gia.

"Người đàn ông là nạn nhân ban đầu đã nhận được lời mời hợp tác," Read nói. "Đây là cách internet hoạt động: Hai người từ khắp nơi trên thế giới hợp tác trong một dự án giúp đỡ người khác. Nhưng đó là Triều Tiên."

Đó chính là RAT

Sau khi giành được sự tin tưởng của Saayman, tội phạm đã lôi kéo ông tham gia một cuộc họp Teams. Tuy nhiên, khi ông tham gia, Teams đã thông báo cho Saayman rằng phần mềm của ông đã lỗi thời và ông cần cài đặt bản cập nhật để tiếp tục. "Đó chính là RAT," ông viết trong bài phân tích hậu kiểm.

Mã độc này đã cho phép UNC1069 truy cập vào máy của Saayman, và điều này cho phép họ đẩy các bản cập nhật độc hại lên dự án Axios, khiến bất kỳ hệ thống nào cài đặt các gói bị xâm phạm trong cửa sổ ba giờ đó tải xuống một trình đánh cắp (stealer) exfiltrate các khóa riêng tư và thông tin xác thực của người dùng, gửi chúng đến máy chủ do kẻ tấn công kiểm soát.

Số lượng nạn nhân hạ nguồn vẫn chưa được biết.

"Đây là một chiến dịch rất tinh vi," Biasini nói. "Họ đã làm rất nhiều việc để xâm phạm nạn nhân cụ thể này, và không có nhiều điều sẽ báo hiệu cho họ rằng có vấn đề."

Tội phạm Triều Tiên đã nhắm vào các nhà phát triển - và các công ty đang tìm kiếm nhà phát triển - trong nhiều năm, với các hoạt động tấn công mạng được nhà nước tài trợ bao gồm trộm cắp tiền điện tử, tấn công ransomware và tống tiền, cũng như các vụ lừa đảo nhân viên IT. Gần đây hơn, họ cũng bắt đầu nhắm trực tiếp vào các nhà phát triển, sử dụng các mồi nhử như các cuộc phỏng vấn việc làm và cuộc họp để xâm phạm máy của họ và đánh cắp thông tin xác thực và ví tiền điện tử.

"Triều Tiên có bánh đà hiểu biết này, nơi họ có những nhân viên IT đang có việc làm thực sự, và họ cũng hiểu môi trường phát triển và cách chúng hoạt động từ góc độ kỹ thuật," Read nói. "Từ những gì chúng tôi thấy và những gì chúng tôi nói với khách hàng: Điều này sẽ tiếp tục xảy ra."

Điều gì nên mong đợi khi bạn đang phòng thủ

Cả hai cuộc tấn công chuỗi cung ứng đều minh họa cách kẻ đối thủ sẽ luôn chọn con đường kháng lực ít nhất, dù đó là đăng nhập bằng thông tin xác thực bị xâm phạm hoặc kỹ thuật xã hội đối với người bảo trì duy nhất của một dự án mã nguồn mở làm nền tảng cho phần lớn internet.

"Chúng nhận ra rằng thay vì cố gắng đập cửa vào các công ty này, tốt hơn nhiều là đi sau một, có thể là hai người đang duy trì gói mã nguồn mở này," Biasini nói. "Và bằng cách xâm phạm các gói này, chúng có thể tạo ra một lượng lớn cơ hội trong một loạt các lĩnh vực."

Nếu có một điểm sáng, đó là cả hai sự cố "đã tạo ra một lượng lớn nhận thức về vấn đề mà mọi người đang phải đối mặt ngay bây giờ với các gói bị xâm phạm," Carmakal nói. "Và nó mang lại cuộc trò chuyện về SBOM - Hóa đơn vật liệu phần mềm."

Về cơ bản, điều này đóng vai trò là "danh sách thành phần" cho các thành phần phần mềm, bao gồm mã nguồn mở, bên thứ ba và độc quyền.

"Điều lớn nhất bạn có thể làm là hiểu rủi ro của mình ở đâu," Biasini nói. "Nếu một cuộc tấn công chuỗi cung ứng xảy ra, bạn nên có thể nhanh chóng xác định gói này đang được sử dụng ở đâu trong môi trường của chúng ta, và đâu là các điểm nhiễm bệnh tiềm năng? Điều tốt nhất bạn có thể làm với tư cách là người phòng thủ là đảm bảo rằng bạn có những SBOM đó, hiểu các gói này ở đâu và cố gắng phân loại nhanh nhất có thể."

Biasini đề xuất sử dụng các tác nhân AI để hỗ trợ. "Đây sẽ là một nơi tuyệt vời để tận dụng AI," ông nói. "Hãy bắt đầu bật các tác nhân AI để xác định các dự án mã nguồn mở này ở đâu trong môi trường của bạn."

Tất cả các chuyên gia bảo mật mà chúng tôi phỏng vấn đều lưu ý thời gian phát hiện nhanh trong các cuộc tấn công chuỗi cung ứng này. "Trong vòng 12 giờ trong hầu hết các trường hợp," Read nói. "Đây không phải là thứ nằm im lặng trong một thời gian dài."

Luôn sẽ có một khoảng thời gian giữa lúc mã bị đầu độc và thời điểm nó được phát hiện trong cuộc tấn công chuỗi cung ứng. Khoảng thời gian đó tạo cơ hội cho các tổ chức tránh tải mã độc xuống hệ thống và máy của họ.

"Nếu bạn tạo ra một quy tắc trong môi trường phát triển của mình mà bạn không tải xuống bất kỳ phiên bản nào mới hơn 24 giờ, bạn sẽ đã bỏ qua những cái này," Read nói. "Dễ nói nhưng khó thực thi nhất quán, đặc biệt là khi Jim từ kế toán bật Claude lên và bây giờ mọi người đều là nhà phát triển."

Tuy nhiên, việc thực thi một số loại độ trễ ngắn, kết hợp với SBOM, biết phần mềm nào chạy trên máy nào và bí mật sống ở đâu, có thể giúp các tổ chức "phản ứng và ưu tiên hiệu quả hơn," ông thêm vào.

"Kỹ thuật xã hội sẽ không biến mất," theo Biasini. "Nó sẽ trở nên thực sự tồi tệ với deep fake, giả lập giọng nói và giả lập video. Các tổ chức nên lên kế hoạch cho các cụm từ bảo mật, vật thể bảo mật ngay bây giờ." Ông đang nói về một vật thể vật lý, thứ bạn có trên bàn làm việc mà bạn có thể nhấc lên và chứng minh danh tính của mình với người ở đầu dây bên kia cuộc gọi video.

"Hãy đảm bảo rằng bạn có những thứ cần thiết ngay bây giờ để đối phó với những thứ sắp tới, vì sớm muộn gì bạn cũng sẽ có CEO hoặc sếp của mình xuất hiện trên cuộc gọi video yêu cầu bạn làm điều gì đó có vẻ kỳ lạ. Và nếu bạn không có các biện pháp bảo vệ này được xây dựng sẵn, sẽ rất khó để thiết lập chúng."