Các chuyên gia an ninh mạng vừa phát hiện hai gói mã độc mới trên kho lưu trữ npm, lợi dụng hợp đồng thông minh của chuỗi khối Ethereum để thực hiện các hành vi nguy hiểm. Phát hiện này gióng lên hồi chuông cảnh báo về xu hướng tội phạm mạng liên tục tìm kiếm những phương thức tinh vi hơn để phát tán phần mềm độc hại và lẩn tránh sự truy quét.
Theo báo cáo từ công ty an ninh chuỗi cung ứng phần mềm ReversingLabs, hai gói npm này là một phần của một chiến dịch tấn công lớn và phức tạp hơn, lan rộng trên cả nền tảng npm và GitHub. Mục tiêu của chúng là lừa gạt các nhà phát triển thiếu cảnh giác tải về và sử dụng các thư viện chứa mã độc.
Đọc thêm: Phân Tích Vụ Tấn Công Supply Chain Attack gây thất thoát 27 triệu đô la của sàn BigONE
Bà Lucija Valentić, một nhà nghiên cứu của ReversingLabs, cho biết điểm đặc biệt của cuộc tấn công này là việc lạm dụng hợp đồng thông minh để che giấu các lệnh độc hại, vốn được dùng để cài đặt một phần mềm tải mã độc khác lên hệ thống của nạn nhân.
Cách thức hoạt động của chúng khá tinh vi. Mặc dù bản thân các gói mã độc không quá che đậy chức năng nguy hiểm, nhưng những dự án trên GitHub sử dụng chúng lại được xây dựng một cách công phu để trông có vẻ đáng tin cậy. Khi một nhà phát triển tích hợp một trong hai gói này vào dự án của mình, mã độc sẽ tự động kích hoạt, sau đó kết nối và tải về một tập tin thực thi khác từ máy chủ do kẻ tấn công kiểm soát.
Điểm khác biệt lớn nhất so với các loại mã độc thông thường chính là việc sử dụng hợp đồng thông minh trên mạng Ethereum để lưu trữ địa chỉ URL chứa mã độc. Thay vì nhúng trực tiếp đường dẫn vào mã nguồn, kẻ tấn công đã ghi nó lên chuỗi khối, một kỹ thuật giúp chúng dễ dàng qua mặt các công cụ phát hiện và quét mã độc truyền thống.
Cuộc điều tra sâu hơn cho thấy các gói mã độc này được tham chiếu trong một mạng lưới các kho lưu trữ giả mạo trên GitHub, tự nhận là bot giao dịch tiền điện tử như "solana-trading-bot-v2", "ethereum-mev-bot-v2", hay "arbitrage-bot". Những dự án này được quảng cáo là có khả năng tự động thực hiện giao dịch dựa trên dữ liệu thời gian thực trên chuỗi khối, một mồi nhử hấp dẫn đối với cộng đồng tiền điện tử.
Các nhà nghiên cứu tin rằng những tài khoản giả mạo này thuộc một mạng lưới phát tán mã độc chuyên nghiệp có tên "Stargazers Ghost Network". Mạng lưới này sử dụng hàng loạt tài khoản ảo để "thả sao", theo dõi và sao chép các dự án độc hại, nhằm mục đích tăng uy tín và mức độ phổ biến một cách giả tạo.
Sự việc này cho thấy các nhà phát triển và người dùng trong lĩnh vực tiền điện tử đang là mục tiêu hàng đầu của những kẻ tấn công. Bà Valentić nhấn mạnh rằng các nhà phát triển cần phải cực kỳ cẩn trọng, kiểm tra kỹ lưỡng mọi thư viện mã nguồn mở trước khi quyết định tích hợp vào sản phẩm của mình. Việc đánh giá không nên chỉ dừng lại ở các con số thống kê như lượt tải hay số lượng người đóng góp, mà phải đi sâu vào việc xác minh tính xác thực của cả gói mã và những người đứng sau nó.
