CyberThao
Writer
Một nghiên cứu mới của Binarly Research cho thấy, hàng chục hình ảnh Docker trên Docker Hub đang chứa backdoor XZ Utils khét tiếng, dù sự cố này đã bị phát hiện hơn một năm trước.
Điều đáng lo ngại là nhiều hình ảnh khác được xây dựng dựa trên các hình ảnh cơ sở đã bị nhiễm, khiến mã độc tiếp tục lây lan gián tiếp. Tổng cộng, nhóm nghiên cứu đã tìm thấy 35 hình ảnh có chứa backdoor, cho thấy rủi ro nghiêm trọng đối với chuỗi cung ứng phần mềm.
Backdoor được ẩn trong thư viện liblzma.so (được OpenSSH sử dụng) và kích hoạt khi máy khách kết nối tới máy chủ SSH đã nhiễm. Mã độc lợi dụng cơ chế IFUNC của glibc để chiếm quyền hàm RSA_public_decrypt, giúp kẻ tấn công sở hữu khóa riêng đặc biệt có thể bỏ qua xác thực và thực thi lệnh root từ xa.
Điều tra cũng hé lộ rằng một nhà phát triển tên Jia Tan (JiaT75) đã dành gần hai năm đóng góp cho dự án mã nguồn mở để lấy lòng tin, trước khi được trao quyền bảo trì và chèn mã độc. Binarly nhận định đây là một chiến dịch rất tinh vi, nhiều khả năng được tài trợ bởi nhà nước, với kế hoạch kéo dài nhiều năm.
Nhóm đã báo cáo các hình ảnh cơ sở này cho đội ngũ bảo trì Debian. Họ cho biết giữ lại các tệp này như “tư liệu lịch sử” vì khả năng khai thác trong môi trường container là rất thấp. Tuy nhiên, Binarly cảnh báo rằng việc để công khai hình ảnh Docker chứa backdoor vẫn tiềm ẩn rủi ro nghiêm trọng, nhất là khi chúng có thể truy cập qua mạng nếu dịch vụ SSH đang chạy.
Docker cho biết sự cố này cho thấy mã độc, dù tồn tại ngắn hạn, vẫn có thể bị bỏ sót trong hình ảnh container chính thức và lây lan trong hệ sinh thái. Sự chậm trễ trong phát hiện nhấn mạnh nhu cầu giám sát cấp nhị phân liên tục, thay vì chỉ dựa vào việc theo dõi phiên bản phần mềm.
Đọc chi tiết tại đây: https://thehackernews.com/2025/08/researchers-spot-xz-utils-backdoor-in.html
Điều đáng lo ngại là nhiều hình ảnh khác được xây dựng dựa trên các hình ảnh cơ sở đã bị nhiễm, khiến mã độc tiếp tục lây lan gián tiếp. Tổng cộng, nhóm nghiên cứu đã tìm thấy 35 hình ảnh có chứa backdoor, cho thấy rủi ro nghiêm trọng đối với chuỗi cung ứng phần mềm.
Sự kiện XZ Utils và tác động kéo dài
Sự cố XZ Utils (CVE-2024-3094, điểm CVSS: 10.0) được phát hiện vào cuối tháng 3/2024 khi Andres Freund cảnh báo về một cửa hậu trong XZ Utils phiên bản 5.6.0 và 5.6.1. Phân tích cho thấy backdoor này có thể cho phép kẻ tấn công truy cập từ xa trái phép và thực thi mã độc thông qua SSH.Backdoor được ẩn trong thư viện liblzma.so (được OpenSSH sử dụng) và kích hoạt khi máy khách kết nối tới máy chủ SSH đã nhiễm. Mã độc lợi dụng cơ chế IFUNC của glibc để chiếm quyền hàm RSA_public_decrypt, giúp kẻ tấn công sở hữu khóa riêng đặc biệt có thể bỏ qua xác thực và thực thi lệnh root từ xa.
Điều tra cũng hé lộ rằng một nhà phát triển tên Jia Tan (JiaT75) đã dành gần hai năm đóng góp cho dự án mã nguồn mở để lấy lòng tin, trước khi được trao quyền bảo trì và chèn mã độc. Binarly nhận định đây là một chiến dịch rất tinh vi, nhiều khả năng được tài trợ bởi nhà nước, với kế hoạch kéo dài nhiều năm.
Dư âm trong hệ sinh thái mã nguồn mở
Nghiên cứu mới chỉ ra ảnh hưởng của vụ việc vẫn còn kéo dài. Binarly phát hiện 12 hình ảnh Debian Docker chứa backdoor, cùng nhiều hình ảnh bậc hai bị lây nhiễm gián tiếp.Nhóm đã báo cáo các hình ảnh cơ sở này cho đội ngũ bảo trì Debian. Họ cho biết giữ lại các tệp này như “tư liệu lịch sử” vì khả năng khai thác trong môi trường container là rất thấp. Tuy nhiên, Binarly cảnh báo rằng việc để công khai hình ảnh Docker chứa backdoor vẫn tiềm ẩn rủi ro nghiêm trọng, nhất là khi chúng có thể truy cập qua mạng nếu dịch vụ SSH đang chạy.
Docker cho biết sự cố này cho thấy mã độc, dù tồn tại ngắn hạn, vẫn có thể bị bỏ sót trong hình ảnh container chính thức và lây lan trong hệ sinh thái. Sự chậm trễ trong phát hiện nhấn mạnh nhu cầu giám sát cấp nhị phân liên tục, thay vì chỉ dựa vào việc theo dõi phiên bản phần mềm.
Đọc chi tiết tại đây: https://thehackernews.com/2025/08/researchers-spot-xz-utils-backdoor-in.html
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
