Tám gói có tên gần giống với các gói hợp pháp phổ biến đã chứa các payload độc hại được thiết kế để làm hỏng hoặc xóa dữ liệu quan trọng và làm sập hệ thống, theo báo cáo được công bố mới đây bởi Kush Pandya - một nhà nghiên cứu tại công ty an ninh mạng Socket. Các gói này đã có mặt trên NPM hơn hai năm và đạt khoảng 6.200 lượt tải trong thời gian đó.

Đa dạng hình thức tấn công

“Điều khiến chiến dịch này đặc biệt đáng lo ngại là sự đa dạng trong các hình thức tấn công — từ việc âm thầm làm hỏng dữ liệu cho đến hành vi hung hăng như tắt hệ thống và xóa tệp,” Pandya viết. “Các gói này được thiết kế để tấn công các phần khác nhau trong hệ sinh thái JavaScript với các chiến thuật khác nhau.”

Các chiến thuật đó bao gồm:

Xóa tệp liên quan đến Vue.js, một framework JavaScript giao diện người dùng, sử dụng các lệnh tương thích cho cả Windows và Linux

Làm hỏng các chức năng cốt lõi của JavaScript bằng dữ liệu ngẫu nhiên

Phá hoại toàn bộ cơ chế lưu trữ trình duyệt bằng một cuộc tấn công phức tạp với ba tệp, gây ảnh hưởng đến token xác thực, tùy chọn người dùng, giỏ hàng, và trạng thái ứng dụng — đồng thời tạo ra các lỗi không ổn định, khó phát hiện, vẫn tồn tại kể cả khi tải lại trang

"Tấn công hệ thống nhiều giai đoạn" bao gồm xóa các tệp framework Vue.js và ép hệ thống phải tắt nguồn

Ảnh minh họa

Một số payload được lập trình chỉ kích hoạt vào các ngày cụ thể trong năm 2023, nhưng cũng có những trường hợp không có ngày kết thúc, khiến mối đe dọa tiếp tục tồn tại. Pandya cho biết: “Vì tất cả các ngày kích hoạt đều đã trôi qua (tháng 6/2023 đến tháng 8/2024), bất kỳ nhà phát triển nào sử dụng các gói này hiện nay sẽ ngay lập tức kích hoạt các payload phá hoại, bao gồm tắt hệ thống, xóa tệp và phá hủy prototype của JavaScript.”

Tạo vỏ bọc đáng tin bằng cách trộn gói độc và gói sạch

Đáng chú ý, tài khoản NPM tải lên các gói độc hại — sử dụng email đăng ký 1634389031@qq[.]com — cũng đã tải lên các gói hợp pháp không chứa mã độc. Việc kết hợp giữa gói “sạch” và gói độc giúp tạo ra một “vỏ bọc hợp pháp” khiến các gói độc hại dễ dàng qua mặt kiểm tra, Pandya nói. Các email gửi đến địa chỉ đó không nhận được phản hồi.

Các gói độc hại nhắm đến người dùng của những hệ sinh thái JavaScript lớn nhất, bao gồm React, Vue và Vite. Cụ thể, các gói độc hại là:

js-bomb

js-hood

vite-plugin-bomb-extend

vite-plugin-bomb

vite-plugin-react-extend

vite-plugin-vue-extend

vue-plugin-bomb

quill-image-downloader

Bất kỳ ai đã cài đặt các gói trên cần kiểm tra kỹ hệ thống của mình để đảm bảo không còn hoạt động của chúng. Do các gói này được ngụy trang gần như hoàn hảo giống các công cụ phát triển hợp pháp, nên rất có thể chúng đã âm thầm tồn tại mà không bị phát hiện.

Nguyễn Yến (theo cybersecuritynews)