175 gói npm độc hại với hơn 26.000 lượt tải được dùng trong chiến dịch phishing lớn
Một chiến dịch tinh vi sử dụng 175 gói npm không rõ nguồn gốc và hơn 26.000 lượt tải để phát tán tài liệu giả và dẫn người dùng đến các trang lừa đảo đánh cắp thông tin đăng nhập.
.png)
Chiến dịch tấn công quy mô lớn nhắm vào chuỗi phần mềm nguồn mở npm
Các chuyên gia bảo mật vừa phát hiện một chiến dịch phishing mang tên “Beamglea” sử dụng 175 gói npm độc hại được tải về hơn 26.000 lần. Những gói này không hoạt động như malware truyền thống mà được dùng làm hạ tầng hỗ trợ dẫn người dùng tới các trang lừa đảo, nhắm vào hơn 135 tổ chức trong lĩnh vực công nghiệp, công nghệ và năng lượng.
Cách thức hoạt động của chiến dịch
-
Những gói được đăng lên npm với tên theo mẫu ngẫu nhiên như redirect-xxxxxx, và khi mở một tệp HTML đặc biệt, nội dung JavaScript từ dịch vụ CDN (unpkg.com) sẽ được tải và thực hiện chuyển hướng nạn nhân đến trang đăng nhập giả mạo.
-
Trang lừa đảo sẽ tự động điền sẵn email của nạn nhân vào trường đăng nhập, khiến người dùng cảm thấy quen thuộc và tin tưởng hơn.
-
Hàng trăm tệp HTML giả dạng hóa đơn, định mức kỹ thuật hay tài liệu nội bộ được phát tán tới nạn nhân dưới hình thức email hoặc tệp đính kèm.
Điểm đáng lo ngại và bài học rút ra
-
Chiến dịch không yêu cầu người dùng cài đặt thêm phần mềm – chỉ cần mở tệp HTML hoặc tài liệu từ nguồn không rõ để bị dẫn tới trang lừa đảo.
-
Hạ tầng sử dụng npm + unpkg là hạ tầng công khai được tin cậy, nên việc phát hiện và chặn rất khó khăn.
-
Việc kiểm soát gói phần mềm nguồn mở và tài liệu nội bộ có thể trở thành điểm yếu trong chuỗi cung ứng phần mềm.
Giải pháp bảo vệ hiệu quả
-
Rà soát và kiểm soát chặt chẽ thư viện nguồn mở (npm) sử dụng trong dự án, chỉ sử dụng các gói từ nhà phát triển uy tín.
-
Triển khai công cụ phân tích thành phần phần mềm (SCA) và kiểm tra các phụ thuộc định kỳ.
-
Đào tạo nhân viên nhận diện email lừa đảo và tài liệu giả mạo, đặc biệt trong lĩnh vực công nghiệp và công nghệ.
-
Giám sát lưu lượng truy cập tới các dịch vụ CDN như unpkg.com, lọc các đường dẫn dẫn tới tài nguyên bất thường.
-
Áp dụng xác thực đa yếu tố (MFA) và giới hạn quyền truy cập theo nguyên tắc tối thiểu cần thiết cho tài khoản người dùng.
Chiến dịch này minh chứng rằng những nền tảng công khai và uy tín như npm có thể bị biến thành “hạ tầng lừa đảo” nếu không được quản lý chặt chẽ. Trong thời đại mà phần mềm nguồn mở chiếm vai trò quan trọng, việc nâng cao cảnh giác và kiểm soát hợp lý trở thành nhu cầu bắt buộc.
Hương – Theo TheHackerNews
