Kẻ tấn công mạo danh lãnh đạo Linux Foundation trên Slack để đánh cắp thông tin nhà phát triển

Kẻ tấn công mạo danh lãnh đạo Linux Foundation trên Slack để đánh cắp thông tin nhà phát triển

Hãy tưởng tượng bạn nhận được yêu cầu thực hiện một tác vụ từ một người có thẩm quyền. Đó chính là kịch bản mà một kẻ phát tán mã độc chưa xác định đã sử dụng để nhắm vào các nhà phát triển phần mềm mã nguồn mở thông qua Slack. Bằng cách mạo danh một quan chức thực sự của Linux Foundation và sử dụng các trang web được lưu trữ trên tên miền Google.com, kẻ tấn công đã đánh cắp thông tin đăng nhập của các nhà phát triển và chiếm đoạt hệ thống của họ.

Christopher Robinson, Giám đốc công nghệ (CTO) của Quỹ An ninh Nguồn mở (OpenSSF), đã chia sẻ với The Register rằng chiến dịch kỹ thuật xã hội này tập trung cụ thể vào hai dự án TODO (Talk Openly, Develop Openly) và CNCF (Cloud Native Computing Foundation) thuộc Linux Foundation.

Mục tiêu của TODO là giúp các tổ chức chia sẻ các phương pháp và công cụ tốt nhất để quản lý các sáng kiến nguồn mở, trong khi CNCF hỗ trợ các dự án đám mây gốc (cloud-native) bao gồm Kubernetes, Envoy và Prometheus.

Chiến thức lừa đảo tinh vi

Sau khi đóng vai trò là một nhà lãnh đạo cộng đồng đáng tin cậy của Linux Foundation trên Slack, kẻ tấn công đã cố gắng lừa các nhà phát triển nhấp vào một liên kết lừa đảo (phishing) được lưu trữ trên Google Sites: https://sites[.]google[.]com/view/workspace-business/join.

Liên kết này bắt chước quy trình đăng nhập hợp pháp của Google Workspace nhưng lại dẫn người dùng đến một quy trình xác thực giả mạo. Nó yêu cầu người dùng nhập thông tin đăng nhập của họ và sau đó cài đặt một chứng chỉ gốc (root certificate) giả mạo được ngụy trang dưới dạng chứng chỉ của Google.

Chứng chỉ gốc giả là mã độc

Theo Robinson, chứng chỉ giả mạo này thực chất là mã độc. Trên hệ điều hành macOS, nó tải xuống và thực thi một tệp nhị phân (gapi) từ một địa chỉ IP từ xa (2.26.97.61). Trên các máy chạy Windows, nó yêu cầu cài đặt chứng chỉ độc hại thông qua hộp thoại tin cậy của trình duyệt.

"Việc cài đặt chứng chỉ này cho phép chặn lưu lượng truy cập được mã hóa và đánh cắp thông tin đăng nhập," ông Robinson, người cũng kiêm nhiệm Kiến trúc sư trưởng an ninh của Linux Foundation, cho biết trong một tư vấn an ninh ngày 7 tháng 4. "Việc thực thi tệp nhị phân có thể dẫn đến việc bị xâm phạm toàn bộ hệ thống."

Ông Robinson từ chối nêu tên quan chức Linux Foundation đang bị mạo danh trên Slack và cho biết ông chưa biết ai đứng sau các nỗ lực đánh cắp thông tin đăng nhập này.

Phản hồi từ Google

Một phát ngôn viên của Google cho biết các chuyên gia an ninh của gã khổng lồ đám mây này đang điều tra chiến dịch và đã gỡ bỏ các trang web giả mạo.

"Hoạt động này là một chiến dịch kỹ thuật xã hội lạm dụng Google Sites để lưu trữ trang lừa đảo; nó không phải là lỗ hổng bảo mật hay lỗi cơ bản trong Google Workspace," phát ngôn viên của Google cho biết. "Chúng tôi tiếp tục giám sát và giảm thiểu loại lạm dụng nền tảng này để bảo vệ hệ sinh thái rộng lớn hơn."

Phát ngôn viên này cũng lưu ý rằng quy trình xác thực Google Workspace hợp pháp sẽ không bao giờ yêu cầu người dùng cài đặt thủ công chứng chỉ gốc hoặc tải xuống tệp nhị phân từ một liên kết để "xác minh" tài khoản.

Xu hướng tấn công chuỗi cung ứng

Nếu bạn nghi ngờ mình đã bị xâm phạm bởi chiến dịch này, Robinson khuyên nên ngắt kết nối khỏi mạng, gỡ bỏ tất cả chứng chỉ mới được cài đặt, thu hồi các phiên và mã thông báo hoạt động, cũng như thay đổi tất cả thông tin đăng nhập.

"Chiến dịch này làm nổi bật một xu hướng đang gia tăng: tin tặc đang nhắm vào quy trình làm việc và mối quan hệ tin cậy của các nhà phát triển, không chỉ là các lỗ hổng phần mềm," Robinson viết trong cảnh báo an ninh. "Sự cảnh giác và xác minh kỹ lưỡng trước khi hành động là rất quan trọng để bảo vệ cả môi trường cá nhân và hệ sinh thái nguồn mở rộng lớn."

Nỗ lực kỹ thuật xã hội nhắm vào các dự án của Linux Foundation diễn ra sau hai cuộc tấn công cao-profile khác nhằm vào các nhà phát triển nguồn mở vào tháng 3.

Trước đó, tin tặc đã tấn công Trivy, một trình quét lỗ hổng với hơn 100.000 người dùng và người đóng góp được nhúng trong hàng nghìn đường ống CI/CD. Sau đó trong tháng, các tin tặc liên quan đến Triều Tiên đã sử dụng kỹ thuật xã hội đối với người bảo trì Axios, sử dụng một công ty giả và không gian làm việc Slack để xâm nhập tài khoản của người bảo trì và phát hành các phiên bản độc hại của thư viện JavaScript nguồn mở chứa trojan truy cập từ xa.

Nick Biasini, Trưởng bộ phận tiếp cận của Cisco Talos, cho biết trong một cuộc phỏng vấn trước đó về các cuộc tấn công chuỗi cung ứng Trivy và Axios: "Chúng ta đang thấy ngày càng nhiều nhà phát triển trở thành mục tiêu của loại hoạt động này. Tin tặc đang bắt đầu thực sự nhìn vào chuỗi cung ứng và các gói nguồn mở, và tìm cách xâm phạm các nhà phát triển để phát tán mã độc hoặc thu thập dữ liệu."