VN
VN
Giới Thiệu
Commerce Media Ventures Sdn Bhd (202401040819 / 1586666-W). All Rights Reserved
Powered by BigGo
Tin tức
Phần mềm
GitHub
Công nghệ thông tin
An ninh mạng

Các Nhà Nghiên Cứu Bảo Mật Tranh Luận Về Đo Lường Tác Động Sau Khi Phát Hiện 2.400 Kho Lưu Trữ Độc Hại Trên GitHub

Nhóm Cộng đồng BigGo
Các Nhà Nghiên Cứu Bảo Mật Tranh Luận Về Đo Lường Tác Động Sau Khi Phát Hiện 2.400 Kho Lưu Trữ Độc Hại Trên GitHub

Cộng đồng an ninh mạng đang tham gia vào một cuộc thảo luận sôi nổi về cách đo lường và truyền đạt đúng đắn tác động của các cuộc tấn công chuỗi cung ứng, sau khi Klarrio gần đây phát hiện ra một mạng lưới phần mềm độc hại khổng lồ trên GitHub. Mặc dù quy mô của hoạt động này rất ấn tượng - 2.400 kho lưu trữ bị nhiễm và 15.000 tài khoản giả - các chuyên gia đang đặt câu hỏi liệu những con số thô có kể hết câu chuyện hay không.

Quy mô mạng lưới phần mềm độc hại:

  • 2.400 kho lưu trữ bị nhiễm được phát hiện
  • 15.000 tài khoản giả được sử dụng để thao túng đánh giá
  • 18 tên miền độc hại được xác định để phân phối payload
  • Mục tiêu chính: các dự án ngôn ngữ lập trình Go

Mảnh Ghép Còn Thiếu: Tác Động Thực Tế So Với Mối Đe Dọa Tiềm Tàng

Các chuyên gia bảo mật đang chỉ ra một khoảng trống quan trọng trong cách báo cáo những phát hiện này. Việc tập trung vào khối lượng hoạt động độc hại không trả lời được câu hỏi quan trọng nhất: có bao nhiều nhà phát triển thực sự đã tải xuống và sử dụng những gói bị xâm phạm này? Cuộc tranh luận này làm nổi bật một vấn đề thường xuyên trong báo cáo an ninh mạng, nơi mà quy mô của hoạt động độc hại thường che lấp việc đánh giá tác động thực tế.

Một chuyên gia bảo mật lưu ý rằng các nền tảng như GitHub, NPM và PyPI thường xuyên thấy những báo cáo hồi hộp về hàng trăm gói độc hại, nhưng hiếm khi cung cấp dữ liệu về các tác động downstream. Mối quan ngại là nếu không hiểu được tác động trong thế giới thực, sẽ khó có thể đánh giá đúng rủi ro và phân bổ tài nguyên bảo mật một cách hiệu quả.

Trò Chơi Số Liệu: Tại Sao Quy Mô Vẫn Quan Trọng

Tuy nhiên, các chuyên gia bảo mật khác cho rằng việc bỏ qua các chiến dịch gieo rắc quy mô lớn là hoàn toàn bỏ lỡ vấn đề. Chiến lược tấn công dựa trên một nguyên tắc đơn giản: càng nhiều hạt giống độc hại được gieo, cơ hội thành công càng cao. Những nền tảng này đóng vai trò là bệ phóng lý tưởng vì hầu hết các tổ chức kỹ thuật sẽ không chặn lưu lượng từ các nguồn đáng tin cậy như GitHub.

Sự bất đối xứng rất rõ ràng: kẻ tấn công chỉ cần thành công một lần. Chỉ cần một nhà phát triển duy nhất cài đặt gói bị xâm phạm là có thể kích hoạt một vụ vi phạm với hậu quả downstream có thể rất lớn.

Phương pháp tấn công được Klarrio phát hiện tuân theo một mô hình tinh vi. Bot nhân bản các kho lưu trữ phổ biến, giới thiệu lại chúng dưới các tài khoản mới với tên giống hệt, và tiêm phần mềm độc hại trong quá trình này. Một số biến thể thậm chí sử dụng AI để liên tục viết lại các tệp, tạo ra ấn tượng sai lệch về sự tham gia tích cực của cộng đồng. Nhiều tài khoản giả sau đó tăng cường các kho lưu trữ độc hại này bằng xếp hạng cao, khiến chúng có vẻ đáng tin cậy hơn các dự án gốc.

Mô hình phương thức tấn công:

  1. Bot sao chép kho lưu trữ phổ biến
  2. Giới thiệu lại dự án dưới tài khoản mới với cùng tên
  3. Tiêm phần mềm độc hại trong quá trình sao chép
  4. AI viết lại các tệp để mô phỏng hoạt động cộng đồng
  5. Các tài khoản giả mạo cung cấp xếp hạng cao
  6. Các nhà phát triển không nghi ngờ tải xuống mã bị xâm phạm

Bối Cảnh Rộng Hơn Của Việc Khai Thác Lòng Tin

Phát hiện này phù hợp với một mô hình lớn hơn mà các nhà nghiên cứu bảo mật thấy hàng ngày. Kẻ tấn công ngày càng tận dụng các trang web và nền tảng đáng tin cậy để lưu trữ và phân phối phần mềm độc hại như một chiến thuật trốn tránh. Kỹ thuật này đã trở nên phổ biến đến mức một số doanh nghiệp đang thực hiện các biện pháp quyết liệt, hoàn toàn chặn lưu lượng đến các tên miền có rủi ro cao và các dịch vụ lưu trữ tệp như Dropbox.

Phần mềm độc hại trong trường hợp này đã lấy payload từ các mẫu URL cụ thể trên 18 tên miền khác nhau, bao gồm alturastreet.icu, carvecomi.fun và liquitydevve.online. Cơ sở hạ tầng này cho thấy một hoạt động được tổ chức tốt hơn là các cuộc tấn công cơ hội.

Ví dụ về Tên miền Độc hại:

  • alturastreet.icu
  • carvecomi.fun
  • hyperwordstatus.icu
  • liquitydevve.online
  • mantrabowery.icu
  • steemapi.site
  • uniscomputer.icu
  • vanartest.website

Kết Luận

Trong khi cộng đồng an ninh mạng tiếp tục tranh luận về những cách tốt nhất để đo lường và truyền đạt rủi ro chuỗi cung ứng, một điều vẫn rõ ràng: mối đe dọa là có thật và đang phát triển. Dù tập trung vào quy mô hay tác động, chính cuộc thảo luận này đại diện cho tiến bộ trong việc hiểu những cuộc tấn công phức tạp này. Khi các tổ chức thắt chặt quy trình tiếp nhận mã nguồn mở và triển khai các biện pháp sàng lọc tốt hơn, sự cân bằng giữa khả năng tiếp cận và bảo mật tiếp tục thách thức cộng đồng phát triển.

Sự cố này đóng vai trò như một lời nhắc nhở rằng trong an ninh mạng, cả tiềm năng gây hại và tác hại thực tế đều quan trọng - và việc đo lường cả hai một cách chính xác vẫn là một thách thức đang diễn ra đối với các nhà nghiên cứu và tổ chức.

Tham khảo: Klarrio Discovers Large-Scale Malware Network on GitHub

Tin tức liên quan