Cuộc tấn công chuỗi cung ứng NPM lớn nhắm vào ví tiền điện tử

Sự cố vi phạm chuỗi cung ứng npm gần đây cho thấy hệ sinh thái mã nguồn mở mong manh đến mức nào khi niềm tin vào một tài khoản duy trì duy nhất bị lạm dụng. Hacker đã lừa nhà phát triển của chalk, debug, ansi-styles và một số gói npm phổ biến khác bằng email lừa đảo giả mạo hỗ trợ chính thức. Khi giành được quyền truy cập, họ đã chèn mã độc vào 18 gói npm, vốn ghi nhận hơn 2 tỷ lượt tải xuống mỗi tuần. Hàng tỷ lượt tải về gắn liền với các thư viện mà lập trình viên thường thêm vào gần như theo thói quen.

Mã độc nhắm vào ví tiền mã hoá như MetaMask

Mục đích duy nhất của mã độc này là tấn công ví tiền mã hoá. Khi được cài đặt, nó quét các ví dựa trên trình duyệt như MetaMask. Ở bước phê duyệt giao dịch, mã độc âm thầm thay thế địa chỉ người nhận bằng địa chỉ do kẻ tấn công kiểm soát. Về phía người dùng, giao diện ví hiển thị quy trình bình thường, nhưng tiền lại chuyển đến nơi khác. Kiểu đánh cắp vô hình này rất khó phát hiện cho đến khi tiền đã biến mất.

Phản ứng nhanh của cộng đồng giúp hạn chế thiệt hại

Điều đáng ngạc nhiên là số tiền kẻ tấn công chiếm đoạt được thực tế rất nhỏ. Các báo cáo hiện cho thấy tổng số dưới 500 USD. Với mức độ phổ biến của các gói npm này, con số có thể cao hơn nhiều. Phản ứng nhanh của cộng đồng mã nguồn mở đã tạo ra sự khác biệt. Các nhà nghiên cứu an ninh mạng phát hiện sự cố, gắn cờ các phiên bản độc hại và phối hợp gỡ bỏ chỉ trong vài giờ. Chính điều này đã ngăn chặn thiệt hại lớn hơn.

Rủi ro lan rộng qua các phụ thuộc trong chuỗi cung ứng

Một cuộc tấn công chuỗi cung ứng bắt đầu từ một tài khoản duy trì bị xâm nhập có thể lan rộng ra toàn bộ hệ sinh thái. Nhiều lập trình viên chưa từng cài đặt chalk hay debug, nhưng vẫn bị ảnh hưởng qua các phụ thuộc gián tiếp. Chuỗi cung ứng phần mềm hiện đại vận hành theo cách này: một thay đổi nhỏ từ nguồn gốc có thể lan tỏa xuống toàn bộ. Vì hầu hết dự án đều cập nhật tự động, mã độc đã lây lan nhanh chóng và âm thầm trước khi ai kịp nhận ra.

Các vụ việc trong quá khứ cho thấy xu hướng gia tăng

Vụ việc event-stream năm 2018 từng đưa mã độc vào sâu trong cây phụ thuộc để đánh cắp ví Bitcoin. PyPI cũng chứng kiến nhiều gói bị chiếm đoạt cài đặt công cụ đánh cắp thông tin đăng nhập. Thậm chí vụ tấn công SolarWinds, dù không liên quan đến npm, cũng theo cùng một logic chuỗi cung ứng khi cài cổng hậu vào phần mềm đáng tin cậy. Kẻ tấn công ngày càng ưa chuộng phương thức này vì nó mang lại cả quy mô lẫn tính ẩn danh, vượt trội hơn so với tấn công trực tiếp từng cá nhân.

Đối với các tổ chức, bài học ngày càng rõ ràng. Quản lý phụ thuộc không thể bị bỏ ngỏ. Công cụ kiểm tra và khóa phiên bản là cần thiết, nhưng giám sát khi chạy để phát hiện hành vi bất thường như can thiệp trái phép vào ví tiền mã hoá cũng quan trọng không kém. Việc tăng cường bảo mật cho các maintainer mã nguồn mở có thể giảm nguy cơ từ các cuộc tấn công phishing. Và các nhóm cần xác định rằng chuỗi cung ứng mã nguồn mở sẽ tiếp tục là mục tiêu hàng đầu, khiến khả năng chống chịu quan trọng hơn là sự tin tưởng mù quáng.

Mô hình niềm tin trong mã nguồn mở vẫn là điểm yếu cốt lõi

Thông điệp lớn hơn nằm ở mô hình niềm tin trong mã nguồn mở. Các lập trình viên phụ thuộc nhiều vào những gói do cá nhân duy trì, thường không có sự hậu thuẫn lớn từ tổ chức. Chính niềm tin đó bị kẻ tấn công lợi dụng. Nếu một maintainer trở thành nạn nhân phishing, tác động có thể lan sang hàng triệu ứng dụng. Sự cố này cho thấy bảo mật không chỉ là vá lỗi, mà còn là bảo vệ toàn bộ chuỗi từ maintainer đến người dùng cuối.

Với ví tiền mã hoá là mục tiêu cuối cùng, rủi ro càng lớn. Người dùng khó phát hiện việc thay đổi địa chỉ cho đến khi tiền biến mất, và khác với tài chính truyền thống, không có quy trình thu hồi khi giao dịch crypto đã thực hiện. Việc kẻ tấn công thử nghiệm phương thức này ở quy mô lớn, dù chỉ thu lợi nhỏ, cho thấy nhiều nỗ lực khác sẽ tiếp tục. Cộng đồng đã phản ứng nhanh lần này, nhưng sự cảnh giác liên tục vẫn là điều cần thiết.