MinhSec
Writer
Một chiến dịch tấn công chuỗi cung ứng phần mềm mới mang tên “Megalodon” đang khiến giới an ninh mạng lo ngại sau khi hàng nghìn kho lưu trữ trên GitHub bị cài mã độc đánh cắp thông tin đăng nhập chỉ trong vài giờ.
Theo công ty an ninh mạng SafeDep, chiến dịch này diễn ra vào ngày 18/5 và kéo dài khoảng 6 giờ. Trong thời gian ngắn ngủi đó, kẻ tấn công đã thực hiện 5.718 commit độc hại vào 5.561 kho lưu trữ GitHub khác nhau.
Các nhà nghiên cứu cho biết tin tặc đã sử dụng tài khoản giả mạo cùng danh tính tác giả giả để chèn mã độc vào quy trình GitHub Actions. Mục tiêu chính là đánh cắp bí mật CI/CD, thông tin đăng nhập đám mây, khóa SSH, mã thông báo OpenID Connect và nhiều dữ liệu nhạy cảm khác rồi gửi về máy chủ điều khiển từ xa (C2).
Thành phần đầu tiên thêm tệp YAML độc hại có tên “SysDiag” để tạo quy trình làm việc mới mỗi khi có thao tác push hoặc pull request. Thành phần thứ hai nguy hiểm hơn khi âm thầm thay thế các workflow hiện có bằng một cơ chế “workflow-dispatch” đóng vai trò như cửa hậu bí mật.
Điểm đáng lo ngại là cơ chế này gần như không để lại dấu vết rõ ràng. Nó không tạo ra cảnh báo, không hiển thị các lần chạy CI thất bại và chỉ được kích hoạt thông qua API của GitHub.
SafeDep phát hiện chiến dịch này khi công cụ phân tích bảo mật của họ tìm thấy hoạt động đáng ngờ trong gói npm của nền tảng chatbot mã nguồn mở Tiledesk. Sau đó, nhóm nghiên cứu phát hiện có ít nhất 9 kho lưu trữ của Tiledesk đã bị cài cửa hậu.
Theo kỹ sư bảo mật Abhisek Datta của SafeDep, nhiều khả năng kẻ tấn công đã sử dụng thông tin đăng nhập hợp lệ bị đánh cắp từ các cuộc tấn công chuỗi cung ứng trước đó để thực hiện chiến dịch Megalodon.
Theo OX Security, khoảng 3.500 kho lưu trữ GitHub từng chứa tệp YAML độc hại của Megalodon, dù con số hiện đã giảm xuống khoảng 2.900 kho.
Một số chuyên gia nhận thấy Megalodon có nhiều điểm tương đồng với sâu máy tính Shai-Hulud từng được TeamPCP sử dụng trước đó, chẳng hạn cách giả mạo bot commit và sử dụng dấu thời gian được mã hóa cứng.
Tuy nhiên, các nhà nghiên cứu cho biết hiện chưa có bằng chứng kỹ thuật đủ mạnh để xác nhận mối liên hệ trực tiếp giữa TeamPCP và Megalodon.
Các chuyên gia an ninh mạng hiện khuyến cáo doanh nghiệp cần nhanh chóng kiểm tra kho lưu trữ GitHub của mình, rà soát các tệp YAML đáng ngờ trong GitHub Actions và thay đổi toàn bộ thông tin đăng nhập, khóa SSH hoặc khóa API nếu phát hiện dấu hiệu xâm nhập.
Theo công ty an ninh mạng SafeDep, chiến dịch này diễn ra vào ngày 18/5 và kéo dài khoảng 6 giờ. Trong thời gian ngắn ngủi đó, kẻ tấn công đã thực hiện 5.718 commit độc hại vào 5.561 kho lưu trữ GitHub khác nhau.
Các nhà nghiên cứu cho biết tin tặc đã sử dụng tài khoản giả mạo cùng danh tính tác giả giả để chèn mã độc vào quy trình GitHub Actions. Mục tiêu chính là đánh cắp bí mật CI/CD, thông tin đăng nhập đám mây, khóa SSH, mã thông báo OpenID Connect và nhiều dữ liệu nhạy cảm khác rồi gửi về máy chủ điều khiển từ xa (C2).
Mã độc hoạt động như “cửa hậu ngầm” trong GitHub Actions
Theo SafeDep, Megalodon gồm hai thành phần phần mềm độc hại khác nhau.Thành phần đầu tiên thêm tệp YAML độc hại có tên “SysDiag” để tạo quy trình làm việc mới mỗi khi có thao tác push hoặc pull request. Thành phần thứ hai nguy hiểm hơn khi âm thầm thay thế các workflow hiện có bằng một cơ chế “workflow-dispatch” đóng vai trò như cửa hậu bí mật.
Điểm đáng lo ngại là cơ chế này gần như không để lại dấu vết rõ ràng. Nó không tạo ra cảnh báo, không hiển thị các lần chạy CI thất bại và chỉ được kích hoạt thông qua API của GitHub.
SafeDep phát hiện chiến dịch này khi công cụ phân tích bảo mật của họ tìm thấy hoạt động đáng ngờ trong gói npm của nền tảng chatbot mã nguồn mở Tiledesk. Sau đó, nhóm nghiên cứu phát hiện có ít nhất 9 kho lưu trữ của Tiledesk đã bị cài cửa hậu.
Theo kỹ sư bảo mật Abhisek Datta của SafeDep, nhiều khả năng kẻ tấn công đã sử dụng thông tin đăng nhập hợp lệ bị đánh cắp từ các cuộc tấn công chuỗi cung ứng trước đó để thực hiện chiến dịch Megalodon.
Nghi vấn liên quan nhóm tin tặc TeamPCP
Chiến dịch Megalodon xuất hiện ngay sau hàng loạt vụ tấn công chuỗi cung ứng lớn trong năm nay, nhiều vụ trong số đó được cho là có liên quan đến nhóm tội phạm mạng TeamPCP.Theo OX Security, khoảng 3.500 kho lưu trữ GitHub từng chứa tệp YAML độc hại của Megalodon, dù con số hiện đã giảm xuống khoảng 2.900 kho.
Một số chuyên gia nhận thấy Megalodon có nhiều điểm tương đồng với sâu máy tính Shai-Hulud từng được TeamPCP sử dụng trước đó, chẳng hạn cách giả mạo bot commit và sử dụng dấu thời gian được mã hóa cứng.
Tuy nhiên, các nhà nghiên cứu cho biết hiện chưa có bằng chứng kỹ thuật đủ mạnh để xác nhận mối liên hệ trực tiếp giữa TeamPCP và Megalodon.
Các chuyên gia an ninh mạng hiện khuyến cáo doanh nghiệp cần nhanh chóng kiểm tra kho lưu trữ GitHub của mình, rà soát các tệp YAML đáng ngờ trong GitHub Actions và thay đổi toàn bộ thông tin đăng nhập, khóa SSH hoặc khóa API nếu phát hiện dấu hiệu xâm nhập.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
