MinhSec
Writer
Các nhà nghiên cứu bảo mật vừa phát hiện một gói npm độc hại có tên “fezbox” giả danh thư viện tiện ích JavaScript/TypeScript, nhưng thực chất lại chứa payload đánh cắp thông tin đăng nhập được ẩn trong… mã QR. Đây là một kỹ thuật che giấu mới, cho thấy mức độ tinh vi ngày càng tăng của các cuộc tấn công chuỗi cung ứng phần mềm.
Thay vì nhúng mã độc trực tiếp, kẻ tấn công đã mã hóa dữ liệu độc hại bên trong mã QR, khiến chỉ phần mềm độc hại mới có thể giải mã. Payload này có khả năng đọc cookie trình duyệt, trích xuất tên người dùng và mật khẩu rồi gửi về máy chủ điều khiển. Gói còn được ngụy trang khéo léo với mô-đun QR trong README, tạo cảm giác hợp pháp.
Theo các chuyên gia, hầu hết ứng dụng ngày nay không còn lưu mật khẩu trực tiếp trong cookie, nên tác động thực tế của gói fezbox có thể không lớn. Tuy vậy, phương pháp che giấu bằng QR cho thấy kẻ tấn công đang tận dụng steganography kỹ thuật ẩn dữ liệu trong những định dạng tưởng chừng vô hại để vượt qua các công cụ quét bảo mật truyền thống.
Các lớp ẩn khác như đảo ngược chuỗi, dữ liệu nén cũng khiến việc phân tích mã khó khăn hơn. Đây là một dấu hiệu rõ ràng rằng những kẻ tấn công chuỗi cung ứng đang “lên cấp” và sẵn sàng dùng bất kỳ thủ thuật nào để che giấu mã độc trong các gói phần mềm tưởng như hợp pháp.
Vụ việc này nhấn mạnh tầm quan trọng của việc kiểm tra dependencies và dùng công cụ giám sát chuỗi cung ứng. Với nhà phát triển, cài nhầm một gói npm chứa mã độc có thể mở đường cho hacker xâm nhập sâu vào ứng dụng. Với người dùng cuối, nguy cơ xuất hiện khi các ứng dụng bị nhiễm độc được triển khai rộng rãi.
Mã độc trong QR chỉ là một ví dụ mới cho thấy không gian tấn công mạng đang liên tục thay đổi. Để an toàn, cả nhà phát triển và người dùng cần luôn đi trước một bước trong việc nhận diện và phòng ngừa các kỹ thuật che giấu mới.
Thay vì nhúng mã độc trực tiếp, kẻ tấn công đã mã hóa dữ liệu độc hại bên trong mã QR, khiến chỉ phần mềm độc hại mới có thể giải mã. Payload này có khả năng đọc cookie trình duyệt, trích xuất tên người dùng và mật khẩu rồi gửi về máy chủ điều khiển. Gói còn được ngụy trang khéo léo với mô-đun QR trong README, tạo cảm giác hợp pháp.
Vì sao kỹ thuật này nguy hiểm?
Theo các chuyên gia, hầu hết ứng dụng ngày nay không còn lưu mật khẩu trực tiếp trong cookie, nên tác động thực tế của gói fezbox có thể không lớn. Tuy vậy, phương pháp che giấu bằng QR cho thấy kẻ tấn công đang tận dụng steganography kỹ thuật ẩn dữ liệu trong những định dạng tưởng chừng vô hại để vượt qua các công cụ quét bảo mật truyền thống.
Các lớp ẩn khác như đảo ngược chuỗi, dữ liệu nén cũng khiến việc phân tích mã khó khăn hơn. Đây là một dấu hiệu rõ ràng rằng những kẻ tấn công chuỗi cung ứng đang “lên cấp” và sẵn sàng dùng bất kỳ thủ thuật nào để che giấu mã độc trong các gói phần mềm tưởng như hợp pháp.
Bài học cho nhà phát triển và người dùng
Vụ việc này nhấn mạnh tầm quan trọng của việc kiểm tra dependencies và dùng công cụ giám sát chuỗi cung ứng. Với nhà phát triển, cài nhầm một gói npm chứa mã độc có thể mở đường cho hacker xâm nhập sâu vào ứng dụng. Với người dùng cuối, nguy cơ xuất hiện khi các ứng dụng bị nhiễm độc được triển khai rộng rãi.
Mã độc trong QR chỉ là một ví dụ mới cho thấy không gian tấn công mạng đang liên tục thay đổi. Để an toàn, cả nhà phát triển và người dùng cần luôn đi trước một bước trong việc nhận diện và phòng ngừa các kỹ thuật che giấu mới.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
