Tấn công chuỗi cung ứng phần mềm: Hacker nhắm vào người dùng Strapi bằng gói NPM độc hại

Một tác nhân đe dọa đã nhắm vào hệ sinh thái Strapi trong một cuộc tấn công chuỗi cung ứng mới, liên quan đến 36 gói NPM độc hại, theo báo cáo từ công ty bảo mật chuỗi cung ứng SafeDep.

Bảo mật chuỗi cung ứng

Strapi là một hệ quản trị nội dung (CMS) headless mã nguồn mở được xây dựng trên Node.js, cho phép các nhà phát triển tạo ra các trang web, ứng dụng di động và tạo API một cách linh hoạt. Vào ngày thứ Sáu vừa qua, SafeDep đã đưa ra cảnh báo về 36 gói NPM được phát hành từ bốn tài khoản khác nhau như một phần của một chiến dịch duy nhất.

Các payload nguy hiểm

Các gói phần mềm này được thiết kế để phân phối nhiều loại payload độc hại, bao gồm khả năng thực thi mã trên Redis (Redis code execution), thoát khỏi Docker container (container escape), thu thập thông tin xác thực (credential harvesting) và triển khai reverse shell.

Một trong các payload này tận dụng các phiên bản Redis để tiêm các mục crontab, triển khai webshells PHP và reverse shell Node.js, tiêm khóa SSH và exfiltrate (tấn công chiếm đoạt dữ liệu) một module API của Guardarian.

Một payload khác được thiết kế để thoát khỏi Docker container thông qua việc khám phá hệ thống tệp overlay, ghi shell vào các thư mục máy chủ, khởi chạy reverse shell và đọc thông tin xác thực từ Elasticsearch và ví điện tử.

Mối đe dọa an ninh mạng

Mục tiêu là Guardarian

SafeDep cho biết chiến dịch này đang nhắm mục tiêu cụ thể đến cổng thanh toán tiền mã hóa Guardarian. Điều này được dựa trên việc quét trực tiếp các cơ sở dữ liệu liên quan, sử dụng module API của Guardarian và nhắm vào các tệp ví cụ thể.

Các chuyên gia an ninh mạng quan sát thấy các payload khác cũng triển khai reverse shell, thu thập thông tin đăng nhập, nhắm vào cơ sở dữ liệu PostgreSQL, tìm kiếm tệp ví/khóa, exfiltrate cấu hình Strapi và triển khai các công cụ duy trì quyền truy cập (persistent implants).

“Tám payload cho thấy một câu chuyện rõ ràng: kẻ tấn công ban đầu rất hung hăng (Redis RCE, thoát Docker), nhận thấy các phương pháp này không hiệu quả, sau đó chuyển sang trinh sát và thu thập dữ liệu, sử dụng thông tin xác thực được mã hóa cứng để truy cập cơ sở dữ liệu trực tiếp và cuối cùng là thiết lập quyền truy cập lâu dài với hành vi đánh cắp thông tin xác thực có mục tiêu,” công ty an ninh mạng nhận định.

Khuyến cáo cho người dùng

SafeDep đánh giá rằng chiến dịch này được tùy chỉnh riêng cho người dùng Strapi, dựa trên quy trình đặt tên plugin, đường dẫn tệp cho các thư mục cấu hình, đường dẫn biến môi trường cho Docker images, việc nhắm vào các phiên bản Redis được sử dụng làm backend cache của Strapi và sự tập trung vào hệ điều hành Linux.

Những người dùng đã cài đặt các gói độc hại này được khuyên nên xoay vòng (rotate) tất cả thông tin xác thực, bao gồm mật khẩu cơ sở dữ liệu, khóa API, bí mật JWT và các dữ liệu nhạy cảm khác được lưu trữ trên hệ thống.