Nhóm hacker TeamPCP công bố mã nguồn sâu Shai-Hulud, kích thích tấn công chuỗi cung ứng

Nhóm hacker TeamPCP, nổi tiếng với việc tấn công hệ sinh thái phần mềm mã nguồn mở trong sáu tháng qua, đã chính thức công bố mã nguồn của loại sâu máy tính Shai-Hulud. Hành động này mở ra cánh cửa cho những kẻ bắt chước thực hiện các cuộc tấn công tương tự, gây ra những rủi ro bảo mật nghiêm trọng.

Mã nguồn này ban đầu được chia sẻ thông qua các kho lưu trữ GitHub kèm theo hướng dẫn sử dụng chi tiết. Mặc dù GitHub đã nhanh chóng xóa các kho lưu trữ ban đầu, nhưng Datadog cho biết nhiều bản sao (fork) đã xuất hiện và lan truyền nhanh chóng.

Môi trường phát triển phần mềm

Trong các kho lưu trữ này còn có thông điệp "Shai–Hulud: Open Sourcing The Carnage" từ chính nhóm hacker, khẳng định mục đích của việc phát hành mã nguồn là để thúc đẩy thêm các cuộc tấn công chuỗi cung ứng (supply chain attacks).

Thử thách chuỗi cung ứng

Các nhà nghiên cứu bảo mật đã phát hiện một thông báo riêng biệt từ TeamPCP trên diễn đàn BreachForums. Thông báo này khuyến khích các tội phạm mạng tham gia vào một "thử thách chuỗi cung ứng" để đổi lấy phần thưởng tiền mặt.

Những kẻ xấu được chỉ thị phải sử dụng sâu Shai-Hulud trong các cuộc tấn công của mình, cung cấp bằng chứng xâm nhập và gây ra tác động lớn nhất có thể xuống hạ lưu (downstream) để giành chiến thắng trong thử thách này.

Ben Ronallo, kỹ sư bảo mật chính của Black Duck, nhận định: "Hai sự kiện này cùng nhau sẽ mang lại một giai đoạn đổi mới cho Shai Hulud, có khả năng sinh ra nhiều biến thể khác nhau của phần mềm độc hại này. TeamPCP đang tăng cường hoạt động của họ lên mức cao nhất bằng cách phát hành mã này cho bất kỳ ai muốn sử dụng."

Phân tích kỹ thuật và biến thể mới

Theo Ox Security, các tác nhân đe dọa đã bắt đầu sửa đổi mã nguồn và sử dụng nó trong các cuộc tấn công mới. Sự leo thang nhanh chóng này là khả thi vì các kho chứa đã bao gồm chi tiết đầy đủ về cách triển khai phần mềm độc hại.

Môi trường bảo mật

Phân tích mã nguồn của Datadog đã hé lộ một khung mô-đun phức tạp bao gồm các trình tải (loaders), các module thu thập bí mật (secrets-harvesting modules), bộ thu thập thông tin, bộ điều phối, bộ xuất dữ liệu (exfiltrators) và bộ biến đổi.

Phân tích này cũng cho thấy các dấu hiệu đặc trưng seen in các cuộc tấn công Shai-Hulud trước đó, bao gồm việc nhắm mục tiêu đến nhiều chứng chỉ nhà phát triển và đám mây, khóa API, mã thông báo (tokens) và các loại bí mật khác. Dữ liệu được mã hóa trước khi xuất lén sang các kho lưu trữ GitHub và một máy chỉ huy và kiểm soát (C&C) được định sẵn sẵn.

Đáng chú ý, mã nguồn cho thấy một cơ chế chống phát hiện hiệu quả: theo thiết kế, các giá trị băm của tệp được biên dịch từ các báo cáo mã nguồn mở không thể tái tạo lại. Mỗi lần xây dựng (build) sẽ sử dụng một cụm mật khẩu ngẫu nhiên mới để làm hạt giống cho việc mã hóa chuỗi.

"Hai bản dựng từ cùng một mã nguồn sẽ tạo ra các tệp nhị phân khác nhau. Đây là một biện pháp chống chữ ký hiệu quả: người phòng thủ không thể tạo quy tắc YARA từ một mẫu đã biên dịch và mong đợi chúng khớp với lần triển khai tiếp theo," Datadog cảnh báo.

Khuyến cáo cho các doanh nghiệp

Bằng cách công bố mã nguồn của con sâu này, TeamPCP đã hạ thấp rào cản cho các tác nhân đe dọa thực hiện các cuộc tấn công chuỗi cung ứng tinh vi, đồng thời đảm bảo rằng các hành động của chính họ có thể được ẩn sau các chiến dịch của những kẻ bắt chước tiềm năng.

Jonathan Stross, quản lý sản phẩm cấp cao của Pathlock, khuyến cáo các tổ chức nên chuẩn bị cho sự gia tăng bền vững và đáng kể trong hoạt động xâm phạm chuỗi cung ứng.

" các nhóm nên cô lập và xây dựng lại các hệ thống nhà phát triển và CI (tích hợp liên tục) bị ảnh hưởng, thay đổi các thông tin đăng nhập đã bị lộ, hạn chế xuất bản tin cậy OIDC cho các quy trình công việc có phạm vi chặt chẽ và các nhánh được bảo vệ," Stross đề xuất.

Ngoài ra, các chuyên gia cũng khuyên nên cố định và xem xét các hành động trên GitHub (GitHub Actions), giám sát hành vi cài đặt gói, và coi các đường dẫn xây dựng (build pipelines) là các bề mặt tấn công cấp độ sản xuất.