Vào tháng 9 năm 2025, các nhà nghiên cứu bảo mật của Kandji đã phát hiện một chiến dịch tấn công mạng tinh vi. Kẻ tấn công triển khai nhiều trang web cài đặt Homebrew giả mạo, bắt chước hoàn hảo trang brew.sh chính thức.

Các tên miền giả mạo này đã phân phối một payload độc hại ẩn dưới dạng tập lệnh cài đặt Homebrew tiêu chuẩn. Phân tích này đi sâu vào các chiến thuật, cơ sở hạ tầng và tác động của xu hướng đáng báo động này.

Tổng quan về Chiến dịch Giả mạo Homebrew

Các trình quản lý gói đã trở thành mục tiêu ưa thích cho các cuộc tấn công chuỗi cung ứng trong vài năm qua. Các sự cố lớn liên quan đến lỗi chính tả (typosquatting) NPM và các gói độc hại PyPI đã chiếm ưu thế trên các tiêu đề tin tức.

Homebrew, trình quản lý gói được sử dụng rộng rãi nhất trên macOS, vẫn an toàn cho đến nay. Nó được coi là một điểm ổn định giữa cơn bão các cuộc xâm phạm hệ sinh thái.

Một tìm kiếm nhanh trên web cho “Homebrew compromise” không cho thấy các sự cố gần đây, không giống như hàng loạt bài viết về sâu gói Shai-Hulud ảnh hưởng đến người dùng NPM.

Tuy nhiên, các tác nhân đe dọa đã thích nghi, chuyển sang một phương pháp khác. Họ nhắm mục tiêu trực tiếp vào người dùng cuối bằng cách sao chép chính trang web Homebrew.

Chỉ trong một tuần, các nhà phân tích của Kandji đã phát hiện bốn tên miền độc hại, chẳng hạn như homebrewoneline[.]org. Các tên miền này phân giải đến địa chỉ IP 38[.]146[.]27[.]144. Mỗi tên miền đều hiển thị một bản sao hoàn hảo của trang chủ Homebrew.

Kỹ thuật Lừa đảo và Phân phối Mã độc

Không giống như trang web thật, các bản sao này hạn chế tất cả việc chọn và sao chép văn bản trong khối lệnh cài đặt. Thay vào đó, chúng buộc nạn nhân phải sử dụng một nút “Copy” duy nhất. Nút này lén lút tải một lệnh do kẻ tấn công chèn vào clipboard.

Cốt lõi của các trang web giả mạo nằm ở một đoạn JavaScript nhúng. Đoạn mã này khóa các hướng dẫn cài đặt và thay thế nội dung clipboard của người dùng.

Khi khách truy cập nhấp vào nút Copy, tập lệnh sẽ kích hoạt hàm copyInstallCommand(). Hàm này ghi một lệnh ẩn vào clipboard trước khi thực thi dòng cài đặt Homebrew hợp pháp.

Đồng thời, một yêu cầu fetch được gửi đến notify.php, ghi lại siêu dữ liệu như thời gian nhấp và môi trường người dùng. Các bình luận bằng tiếng Nga trong mã tiết lộ các placeholder cho các payload được mã hóa Base64 và thậm chí gợi ý các điểm cuối đánh cắp dữ liệu (exfiltration endpoints) như Telegram.

Thiết kế mô-đun này cho thấy một hoạt động theo kiểu thương mại, cho phép kẻ tấn công thay thế các payload khác nhau tùy ý. Thay vì dựa vào một lần lây nhiễm duy nhất, cơ sở hạ tầng cũng phục vụ Odyssey Stealer song song. Điều này kết hợp hiệu quả việc đánh cắp thông tin đăng nhập với việc cấy mã độc dai dẳng.

Ảnh chụp màn hình của cả trang cài đặt Homebrew chính thức và trang giả mạo của nó cho thấy sự khác biệt trực quan duy nhất: không có chức năng sao chép thủ công. Tuy nhiên, mối nguy hiểm thực sự nằm ở dòng bổ sung không nhìn thấy trong clipboard, được kéo vào terminal của nạn nhân mà không hề hay biết.

Các Chỉ số Xâm phạm (IOCs)

Các chỉ số xâm phạm (IOCs) đã được xác định trong chiến dịch tấn công mạng này bao gồm:

• Tên miền giả mạo:
  • homebrewoneline[.]org
  • Và hàng chục tên miền khác bắt chước brew.sh
• Địa chỉ IP liên quan:
  • 38[.]146[.]27[.]144
• Mã độc được phân phối:
  • Odyssey Stealer

Ảnh hưởng và Biện pháp Phòng ngừa

Chiến dịch này nhấn mạnh một bài học quan trọng cho các nhà phát triển và quản trị viên macOS: an ninh chuỗi cung ứng mở rộng ra ngoài các gói để bao gồm chính các công cụ quản lý chúng. Các nhà phát triển thường cài đặt Homebrew một lần và cho rằng nó vẫn đáng tin cậy.

Trên thực tế, kẻ tấn công có thể vũ khí hóa sự tiện lợi bằng cách lôi kéo người dùng đến các trang web giả mạo. Để phòng ngừa các vector này, người dùng nên luôn xác minh các lệnh cài đặt với các nguồn đáng tin cậy. Tránh dán các đoạn mã shell từ các trang web không được xác minh.

Luôn xác nhận tên miền là brew.sh và kiểm tra nội dung clipboard trước khi thực thi bất kỳ lệnh nào. Các biện pháp phòng thủ doanh nghiệp nên bao gồm giám sát endpoint. Điều này giúp gắn cờ các lệnh gọi fetch hoặc các payload được mã hóa Base64 bất ngờ được kích hoạt trong quá trình cài đặt.

Kandji Threat Intelligence tiếp tục rà soát internet để tìm các tên miền giả mạo mới, lập danh mục hàng chục tên miền khác trong một kho lưu trữ công khai do Mikhail Kasimov duy trì. Bằng cách tích hợp các IOC này vào các công cụ an ninh mạng và giáo dục người dùng cuối về các phương pháp cài đặt an toàn, các tổ chức có thể giảm thiểu rủi ro bảo mật trước mối đe dọa mới nổi này.

Khi các phần mềm độc hại dựa trên trình quản lý gói phát triển, sự cảnh giác trong việc xác minh cả nguồn gói và trang web cài đặt vẫn là biện pháp phòng thủ hiệu quả nhất chống lại các tấn công mạng tương tự.