Duy Linh
Writer
Một gói PyPI độc hại có tên hermes-px đang giả danh là “máy chủ proxy suy luận AI an toàn”, nhưng thực chất âm thầm đánh cắp yêu cầu người dùng và lạm dụng dịch vụ AI của một trường đại học tư nhân.
Được quảng cáo là proxy tương thích OpenAI, định tuyến qua Tor và không cần API key, gói này thực tế đã chiếm quyền truy cập vào điểm cuối AI nội bộ của một trường đại học tại Tunisia. Nó chèn một lời nhắc hệ thống bị đánh cắp từ Claude và trích xuất toàn bộ hội thoại vào cơ sở dữ liệu Supabase do kẻ tấn công kiểm soát.
Đáng chú ý, hermes-px được xây dựng rất tinh vi. Khác với nhiều mã độc cẩu thả trên PyPI, nó đi kèm tài liệu chi tiết, hướng dẫn cài đặt, chuyển đổi từ OpenAI SDK, ví dụ pipeline RAG và hướng dẫn xử lý lỗi nhằm tạo lòng tin cho lập trình viên.
Thư viện này cung cấp API tương tự SDK Python của OpenAI, cho phép thay thế nhanh chóng với thay đổi mã tối thiểu thông qua lệnh client.chat.completions.create().
Tệp README còn hướng dẫn chạy mã Python từ xa thông qua urllib.request và exec(), một dấu hiệu điển hình của việc thực thi mã độc.
Một gói PyPI độc hại, hermes-px (Nguồn: JFrog).
Theo nghiên cứu từ JFrog, hermes-px sử dụng nhiều lớp che giấu. Tổ chức GitHub “EGen Labs” đứng sau là giả mạo, và kho lưu trữ đã bị xóa (trả về lỗi 404), cho thấy từng được dùng để tải payload giai đoạn hai mà không cần cập nhật PyPI.
Chiếm quyền điều khiển dịch vụ trí tuệ nhân tạo của một trường đại học (Nguồn: JFrog).
URL mục tiêu được mã hóa trỏ đến API riêng tại prod.universitecentrale[.]net:9443, thuộc Đại học Centrale (Tunisia), được bảo vệ bởi Azure WAF và tương tự hệ thống chatbot tư vấn học tập nội bộ.
Các dữ liệu hệ thống được mã hóa cho thấy bot này dùng để tư vấn chuyên ngành như toán, lập trình và an ninh mạng, xác nhận đây là dịch vụ AI nội bộ bị khai thác trái phép.
Gói phần mềm chứa tệp base_prompt.pz, giải nén thành chuỗi nhắc hệ thống dài 246.000 ký tự, có độ tương đồng cao với prompt của Anthropic Claude Code bị rò rỉ.
Kẻ tấn công đã thay thế hàng loạt tên gọi: “Claude” thành “AXIOM-1”, “Anthropic” thành “EGen Labs”, nhưng vẫn để lại nhiều dấu vết như tên hàm, kiểu dữ liệu và cấu trúc nội bộ.
Một đoạn mã nhắc nhở hệ thống Claude dài 246.000 ký tự (Nguồn: JFrog).
Mỗi yêu cầu gửi đi đều được chèn thêm prompt hệ thống lớn và hướng dẫn tư vấn học thuật trước khi thêm nội dung người dùng, đảm bảo backend bị kiểm soát xử lý theo ngữ cảnh do kẻ tấn công tạo.
Các lỗi vượt hạn mức bị chuyển thành thông báo “mô hình ngoại tuyến”, nhằm duy trì cảm giác đây là hệ thống AI riêng.
Lọc nhanh thông qua Supabase (Nguồn: JFrog).
Thành phần nguy hiểm nhất là mô-đun telemetry. Sau mỗi lần suy luận, nó tự động gửi toàn bộ tin nhắn người dùng và phản hồi AI về máy chủ Supabase của kẻ tấn công.
Tính năng này được bật mặc định qua biến HERMES_TELEMETRY=1, sử dụng requests.post() với API key mã hóa cứng. Đáng chú ý, quá trình này bỏ qua Tor, làm lộ địa chỉ IP thật của người dùng.
Để tránh bị phát hiện, tất cả dữ liệu nhạy cảm như URL, tiêu đề giả mạo, prompt hệ thống và thông tin đăng nhập Supabase đều được mã hóa ba lớp gồm:
Mã hóa ba lớp (Nguồn: JFrog).
Dữ liệu chỉ được giải mã trong bộ nhớ khi chạy, khiến các công cụ quét chuỗi thông thường khó phát hiện.
Bất kỳ lập trình viên nào cài đặt hermes-px đều có nguy cơ bị thu thập toàn bộ nội dung trao đổi với AI, bao gồm mã nguồn, thông tin đăng nhập và dữ liệu nội bộ, cùng với địa chỉ IP.
JFrog khuyến nghị cần:
Được quảng cáo là proxy tương thích OpenAI, định tuyến qua Tor và không cần API key, gói này thực tế đã chiếm quyền truy cập vào điểm cuối AI nội bộ của một trường đại học tại Tunisia. Nó chèn một lời nhắc hệ thống bị đánh cắp từ Claude và trích xuất toàn bộ hội thoại vào cơ sở dữ liệu Supabase do kẻ tấn công kiểm soát.
Đáng chú ý, hermes-px được xây dựng rất tinh vi. Khác với nhiều mã độc cẩu thả trên PyPI, nó đi kèm tài liệu chi tiết, hướng dẫn cài đặt, chuyển đổi từ OpenAI SDK, ví dụ pipeline RAG và hướng dẫn xử lý lỗi nhằm tạo lòng tin cho lập trình viên.
Thư viện này cung cấp API tương tự SDK Python của OpenAI, cho phép thay thế nhanh chóng với thay đổi mã tối thiểu thông qua lệnh client.chat.completions.create().
Tệp README còn hướng dẫn chạy mã Python từ xa thông qua urllib.request và exec(), một dấu hiệu điển hình của việc thực thi mã độc.
Một gói PyPI độc hại, hermes-px (Nguồn: JFrog).
Theo nghiên cứu từ JFrog, hermes-px sử dụng nhiều lớp che giấu. Tổ chức GitHub “EGen Labs” đứng sau là giả mạo, và kho lưu trữ đã bị xóa (trả về lỗi 404), cho thấy từng được dùng để tải payload giai đoạn hai mà không cần cập nhật PyPI.
Hệ thống AI của trường đại học bị chiếm quyền
Khi khởi tạo, hermes-px tạo một requests.Session với tiêu đề giả mạo trình duyệt và buộc toàn bộ lưu lượng suy luận đi qua proxy Tor SOCKS5 cục bộ nhằm che giấu hành vi lạm dụng.
Chiếm quyền điều khiển dịch vụ trí tuệ nhân tạo của một trường đại học (Nguồn: JFrog).
URL mục tiêu được mã hóa trỏ đến API riêng tại prod.universitecentrale[.]net:9443, thuộc Đại học Centrale (Tunisia), được bảo vệ bởi Azure WAF và tương tự hệ thống chatbot tư vấn học tập nội bộ.
Các dữ liệu hệ thống được mã hóa cho thấy bot này dùng để tư vấn chuyên ngành như toán, lập trình và an ninh mạng, xác nhận đây là dịch vụ AI nội bộ bị khai thác trái phép.
Gói phần mềm chứa tệp base_prompt.pz, giải nén thành chuỗi nhắc hệ thống dài 246.000 ký tự, có độ tương đồng cao với prompt của Anthropic Claude Code bị rò rỉ.
Kẻ tấn công đã thay thế hàng loạt tên gọi: “Claude” thành “AXIOM-1”, “Anthropic” thành “EGen Labs”, nhưng vẫn để lại nhiều dấu vết như tên hàm, kiểu dữ liệu và cấu trúc nội bộ.
Một đoạn mã nhắc nhở hệ thống Claude dài 246.000 ký tự (Nguồn: JFrog).
Mỗi yêu cầu gửi đi đều được chèn thêm prompt hệ thống lớn và hướng dẫn tư vấn học thuật trước khi thêm nội dung người dùng, đảm bảo backend bị kiểm soát xử lý theo ngữ cảnh do kẻ tấn công tạo.
Cơ chế đánh cắp dữ liệu và che giấu tinh vi
Để che giấu nguồn thực, hermes-px thay thế các từ như “OpenAI” thành “EGen Labs”, “ChatGPT” thành “AXIOM-1” và sửa URL nền tảng.Các lỗi vượt hạn mức bị chuyển thành thông báo “mô hình ngoại tuyến”, nhằm duy trì cảm giác đây là hệ thống AI riêng.
Lọc nhanh thông qua Supabase (Nguồn: JFrog).
Thành phần nguy hiểm nhất là mô-đun telemetry. Sau mỗi lần suy luận, nó tự động gửi toàn bộ tin nhắn người dùng và phản hồi AI về máy chủ Supabase của kẻ tấn công.
Tính năng này được bật mặc định qua biến HERMES_TELEMETRY=1, sử dụng requests.post() với API key mã hóa cứng. Đáng chú ý, quá trình này bỏ qua Tor, làm lộ địa chỉ IP thật của người dùng.
Để tránh bị phát hiện, tất cả dữ liệu nhạy cảm như URL, tiêu đề giả mạo, prompt hệ thống và thông tin đăng nhập Supabase đều được mã hóa ba lớp gồm:
- XOR với khóa xoay vòng 210 byte
- Nén zlib
- Mã hóa base64
Mã hóa ba lớp (Nguồn: JFrog).
Dữ liệu chỉ được giải mã trong bộ nhớ khi chạy, khiến các công cụ quét chuỗi thông thường khó phát hiện.
Bất kỳ lập trình viên nào cài đặt hermes-px đều có nguy cơ bị thu thập toàn bộ nội dung trao đổi với AI, bao gồm mã nguồn, thông tin đăng nhập và dữ liệu nội bộ, cùng với địa chỉ IP.
JFrog khuyến nghị cần:
- Gỡ cài đặt hermes-px ngay lập tức
- Thay đổi toàn bộ thông tin nhạy cảm đã sử dụng
- Kiểm tra lại lịch sử hội thoại
- Chặn domain Supabase liên quan
- Gỡ Tor nếu chỉ dùng cho gói này
Nguồn: gbhackers
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
