Nguyễn Tiến Đạt
Intern Writer
Nhóm tin tặc đứng sau chiến dịch Contagious Interview tiếp tục làm ngập hệ sinh thái npm với 197 gói độc hại chỉ trong một tháng gần đây. Theo báo cáo từ Socket, các gói này đã được tải xuống hơn 31.000 lần và được dùng để triển khai biến thể OtterCookie mới, kết hợp đặc điểm của BeaverTail và các phiên bản OtterCookie trước đó.
Các nhà nghiên cứu an ninh mạng gần đây phát hiện một loạt phần mềm được chia sẻ cho lập trình viên có dấu hiệu bất thường. Theo báo cáo của nhiều đơn vị giám sát mã nguồn mở như Socket và Cisco Talos, chỉ trong thời gian ngắn đã xuất hiện gần hai trăm gói phần mềm nhỏ mang tên gọi quen thuộc, mô tả đúng nhu cầu người dùng, nhưng bên trong lại cài cắm mã cho phép tải thêm dữ liệu từ bên ngoài. Điều đáng chú ý là những gói này được ngụy trang rất kỹ: cấu trúc giống hệt phần mềm hợp lệ, không có cảnh báo rõ ràng, và chỉ kích hoạt mã ẩn sau khi được cài đặt và sử dụng trong môi trường thật.
Các nhà phân tích nhận thấy những gói phần mềm này không tồn tại đơn độc mà gắn liền với một phương thức lừa đảo tinh vi hơn, mà cộng đồng an ninh gọi là “Contagious Interview”. Các đối tượng tạo ra những buổi phỏng vấn trực tuyến giả mạo, gửi bài kiểm tra lập trình hoặc yêu cầu cài thêm công cụ hỗ trợ camera và micro. Người tìm việc, tưởng rằng đây là quy trình bình thường, tải về và chạy chương trình, vô tình mở đường cho phần mềm độc hại hoạt động.
Khi kích hoạt, phần mềm không gây tiếng động lớn mà lặng lẽ thu thập thông tin máy tính, theo dõi thao tác bàn phím, chụp màn hình và tìm kiếm tài liệu nhạy cảm. Một số biến thể còn có khả năng đánh cắp mật khẩu trình duyệt hoặc dữ liệu ví điện tử. Những dữ liệu này được gửi về một máy chủ điều khiển rồi tiếp tục nhận lệnh từ xa. Việc phát hiện càng khó khăn hơn khi các chương trình này sử dụng những dịch vụ quen thuộc như Vercel hoặc Dropbox để che giấu đường truyền.
Dấu hiệu nhận biết thường chỉ lộ ra khi xem xét kỹ: gói phần mềm đến từ tài khoản ít uy tín, mô tả không tương xứng với quyền truy cập mà chương trình yêu cầu, hoặc sau khi cài đặt, máy tính liên tục phát sinh kết nối ra ngoài dù người dùng không sử dụng gì. Một số báo cáo kỹ thuật cũng ghi nhận mã nguồn được viết theo dạng tránh phân tích, như cố ý ẩn đi mục đích thật sự.
Điều khiến chiến dịch này đặc biệt nguy hiểm không nằm ở công nghệ mà ở cách thức tiếp cận. Thay vì công khai xâm nhập hay tấn công trực diện, các đối tượng tận dụng chính những hoạt động quen thuộc: tìm thư viện hỗ trợ, làm bài test kỹ năng, hoặc cài tiện ích phục vụ buổi phỏng vấn. Mọi thứ đều đủ thuyết phục để người dùng không mảy may nghi ngờ.
Chính vì vậy, các chuyên gia cảnh báo rằng điều quan trọng nhất vẫn là sự cảnh giác: không chạy các công cụ lạ được gửi qua tin nhắn tuyển dụng, không cài phần mềm từ tài khoản không rõ ràng, và luôn kiểm tra xem một chương trình có đang yêu cầu quyền truy cập vượt quá mục đích mô tả hay không. Trong bối cảnh các chiến thuật lừa đảo ngày càng tinh vi, sự cảnh giác của người dùng trở thành lớp phòng vệ đầu tiên và quan trọng nhất.
(thehackernews)
Các nhà nghiên cứu an ninh mạng gần đây phát hiện một loạt phần mềm được chia sẻ cho lập trình viên có dấu hiệu bất thường. Theo báo cáo của nhiều đơn vị giám sát mã nguồn mở như Socket và Cisco Talos, chỉ trong thời gian ngắn đã xuất hiện gần hai trăm gói phần mềm nhỏ mang tên gọi quen thuộc, mô tả đúng nhu cầu người dùng, nhưng bên trong lại cài cắm mã cho phép tải thêm dữ liệu từ bên ngoài. Điều đáng chú ý là những gói này được ngụy trang rất kỹ: cấu trúc giống hệt phần mềm hợp lệ, không có cảnh báo rõ ràng, và chỉ kích hoạt mã ẩn sau khi được cài đặt và sử dụng trong môi trường thật.
Các nhà phân tích nhận thấy những gói phần mềm này không tồn tại đơn độc mà gắn liền với một phương thức lừa đảo tinh vi hơn, mà cộng đồng an ninh gọi là “Contagious Interview”. Các đối tượng tạo ra những buổi phỏng vấn trực tuyến giả mạo, gửi bài kiểm tra lập trình hoặc yêu cầu cài thêm công cụ hỗ trợ camera và micro. Người tìm việc, tưởng rằng đây là quy trình bình thường, tải về và chạy chương trình, vô tình mở đường cho phần mềm độc hại hoạt động.
Khi kích hoạt, phần mềm không gây tiếng động lớn mà lặng lẽ thu thập thông tin máy tính, theo dõi thao tác bàn phím, chụp màn hình và tìm kiếm tài liệu nhạy cảm. Một số biến thể còn có khả năng đánh cắp mật khẩu trình duyệt hoặc dữ liệu ví điện tử. Những dữ liệu này được gửi về một máy chủ điều khiển rồi tiếp tục nhận lệnh từ xa. Việc phát hiện càng khó khăn hơn khi các chương trình này sử dụng những dịch vụ quen thuộc như Vercel hoặc Dropbox để che giấu đường truyền.
Dấu hiệu nhận biết thường chỉ lộ ra khi xem xét kỹ: gói phần mềm đến từ tài khoản ít uy tín, mô tả không tương xứng với quyền truy cập mà chương trình yêu cầu, hoặc sau khi cài đặt, máy tính liên tục phát sinh kết nối ra ngoài dù người dùng không sử dụng gì. Một số báo cáo kỹ thuật cũng ghi nhận mã nguồn được viết theo dạng tránh phân tích, như cố ý ẩn đi mục đích thật sự.
Điều khiến chiến dịch này đặc biệt nguy hiểm không nằm ở công nghệ mà ở cách thức tiếp cận. Thay vì công khai xâm nhập hay tấn công trực diện, các đối tượng tận dụng chính những hoạt động quen thuộc: tìm thư viện hỗ trợ, làm bài test kỹ năng, hoặc cài tiện ích phục vụ buổi phỏng vấn. Mọi thứ đều đủ thuyết phục để người dùng không mảy may nghi ngờ.
Chính vì vậy, các chuyên gia cảnh báo rằng điều quan trọng nhất vẫn là sự cảnh giác: không chạy các công cụ lạ được gửi qua tin nhắn tuyển dụng, không cài phần mềm từ tài khoản không rõ ràng, và luôn kiểm tra xem một chương trình có đang yêu cầu quyền truy cập vượt quá mục đích mô tả hay không. Trong bối cảnh các chiến thuật lừa đảo ngày càng tinh vi, sự cảnh giác của người dùng trở thành lớp phòng vệ đầu tiên và quan trọng nhất.
(thehackernews)
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
