Nguyễn Tiến Đạt
Intern Writer
Các chuyên gia an ninh mạng vừa phát hiện một chiến dịch tấn công chuỗi cung ứng nghiêm trọng liên quan đến công cụ bảo mật Trivy, cho thấy mức độ lan rộng và ngày càng tinh vi của các mối đe dọa trong môi trường DevOps và điện toán đám mây.
Các container bị nhiễm mã độc được phát hiện có chứa trình đánh cắp thông tin (infostealer), cho phép kẻ tấn công thu thập dữ liệu nhạy cảm từ hệ thống nạn nhân.
Hậu quả không dừng lại ở đó. Dữ liệu bị đánh cắp tiếp tục được sử dụng để xâm nhập hàng loạt gói npm, từ đó phát tán sâu máy tính tự lan có tên CanisterWorm. Đây là một bước leo thang đáng lo ngại, cho thấy khả năng lan truyền nhanh chóng trong môi trường phát triển phần mềm.
Nguyên nhân được xác định là do tài khoản dịch vụ “Argon-DevOps-Mgt” bị xâm nhập, cho phép kẻ tấn công có quyền quản trị trên nhiều hệ thống quan trọng. Đây được xem là “mắt xích yếu” dẫn đến toàn bộ chuỗi tấn công.
Một biến thể mã độc mới có khả năng:
Mã độc phát tán qua Docker Hub
Theo báo cáo, các phiên bản độc hại của Trivy (0.69.4, 0.69.5 và 0.69.6) đã bị phát tán thông qua Docker Hub trước khi bị gỡ bỏ. Đây là các phiên bản không có bản phát hành chính thức trên GitHub, nhưng lại chứa mã độc đánh cắp thông tin có liên quan đến nhóm tấn công TeamPCP.
Các container bị nhiễm mã độc được phát hiện có chứa trình đánh cắp thông tin (infostealer), cho phép kẻ tấn công thu thập dữ liệu nhạy cảm từ hệ thống nạn nhân.
Tấn công chuỗi cung ứng và lan rộng sang hệ sinh thái
Sự cố bắt nguồn từ việc chuỗi cung ứng của Trivy bị xâm phạm, khi tin tặc sử dụng thông tin đăng nhập bị đánh cắp để chèn mã độc vào các thành phần như GitHub Actions liên quan.Hậu quả không dừng lại ở đó. Dữ liệu bị đánh cắp tiếp tục được sử dụng để xâm nhập hàng loạt gói npm, từ đó phát tán sâu máy tính tự lan có tên CanisterWorm. Đây là một bước leo thang đáng lo ngại, cho thấy khả năng lan truyền nhanh chóng trong môi trường phát triển phần mềm.
Hạ tầng GitHub bị chiếm quyền
Một trong những diễn biến nghiêm trọng nhất là việc tin tặc kiểm soát tổ chức GitHub nội bộ “aquasec-com” của Aqua Security. Hơn 40 kho lưu trữ đã bị chỉnh sửa hàng loạt chỉ trong vài phút.Nguyên nhân được xác định là do tài khoản dịch vụ “Argon-DevOps-Mgt” bị xâm nhập, cho phép kẻ tấn công có quyền quản trị trên nhiều hệ thống quan trọng. Đây được xem là “mắt xích yếu” dẫn đến toàn bộ chuỗi tấn công.
Xuất hiện mã độc xóa dữ liệu Kubernetes
Không chỉ dừng lại ở đánh cắp thông tin, nhóm tấn công còn triển khai các công cụ phá hoại mạnh mẽ trong môi trường Kubernetes.Một biến thể mã độc mới có khả năng:
- Triển khai DaemonSet trên toàn bộ cụm Kubernetes
- Xóa sạch dữ liệu và khởi động lại hệ thống
- Cài backdoor trên các máy không bị xóa
- Lây lan qua SSH bằng cách đánh cắp khóa truy cập
Mối đe dọa ngày càng tinh vi
Chiến dịch này cho thấy sự tiến hóa rõ rệt của các nhóm tội phạm mạng, khi kết hợp nhiều kỹ thuật:- Tấn công chuỗi cung ứng
- Khai thác API Docker và hạ tầng đám mây
- Phát tán sâu máy tính
- Triển khai ransomware và công cụ phá hoại
Khuyến cáo cho doanh nghiệp
Trước tình hình này, các chuyên gia khuyến nghị:- Ngừng sử dụng các phiên bản Trivy bị ảnh hưởng
- Kiểm tra toàn bộ quy trình CI/CD
- Ghim (pin) các dependency theo mã SHA thay vì tag
- Giám sát chặt chẽ hạ tầng DevOps như môi trường sản xuất
- Rà soát dấu hiệu xâm nhập trong hệ thống
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
