Datadog Security Research đã phát hiện một chiến dịch tấn công chuỗi cung ứng npm tinh vi, liên quan đến 17 gói độc hại trên 23 bản phát hành. Mục tiêu chính là phân phối mã độc Vidar infostealer tới các hệ thống Windows.

Tổng quan về Chiến dịch MUT-4831

Chiến dịch này, được gán cho nhóm tác nhân đe dọa MUT-4831, đánh dấu sự leo thang đáng kể trong các mối đe dọa dựa trên npm. Đây là lần đầu tiên công khai về mã độc Vidar được phân phối thông qua các gói npm.

Các gói độc hại ngụy trang thành các bộ công cụ phát triển phần mềm (SDK) và thư viện hợp pháp. Chúng bao gồm các công cụ hỗ trợ Telegram bot giả, thư viện biểu tượng, và các phiên bản forked của các dự án phổ biến như Cursor và React.

Dù có vẻ ngoài vô hại trên npm registry, các gói này thực thi payload phá hoại thông qua các script postinstall. Các script này tự động chạy trong quá trình cài đặt gói.

Quá trình Phát hiện và Thời gian hoạt động

Các nhà nghiên cứu đã phát hiện các gói độc hại này tồn tại trên npm registry khoảng hai tuần trước khi bị gỡ bỏ. Trong khoảng thời gian này, chúng đã tích lũy ít nhất 2.240 lượt tải xuống.

Gói độc hại phổ biến nhất, react-icon-pkg, đã được tải xuống 503 lần trước khi bị gỡ bỏ.

Datadog Security Research đã phát hiện chiến dịch vào ngày 21 tháng 10 năm 2025. Việc phát hiện này được thực hiện thông qua GuardDog, công cụ phân tích tĩnh dòng lệnh của họ, chuyên xác định các dấu hiệu đáng ngờ trong mã gói.

Phát hiện ban đầu đã gắn cờ gói [email protected]. Gói này cho thấy nhiều chỉ số độc hại, bao gồm việc thực thi tiến trình im lặng, các tên miền mạng đáng ngờ và các script cài đặt tự động.

Trong hai đợt bùng phát vào cuối tháng 10, các nhà nghiên cứu đã quan sát thấy hai tác nhân đe dọa đứng sau chiến dịch. Chúng hoạt động dưới các tài khoản npm “aartje” và “saliii229911”, đã công bố các gói bị vũ khí hóa của mình.

Chỉ số Nhận diện Chiến dịch (IOCs)

Các chỉ số liên quan đến chiến dịch tấn công chuỗi cung ứng npm này bao gồm:

• Tên miền tải xuống mã độc: bullethost[.]cloud
• Gói npm độc hại: [email protected]
• Gói npm độc hại phổ biến: react-icon-pkg
• Tài khoản npm của tác nhân đe dọa: aartje, saliii229911
• Tên thực thi mã độc: bridle.exe

Cơ chế Lây nhiễm và Khai thác

Chuỗi tấn công của chiến dịch MUT-4831 tuân theo một quy trình ba bước đơn giản. Các bước này được thực thi trong quá trình cài đặt gói npm:

Chuỗi lây nhiễm ba bước

1. Tải xuống Payload: Script postinstall đầu tiên tải xuống một kho lưu trữ ZIP được mã hóa. Nguồn tải xuống là từ một tên miền thuộc bullethost[.]cloud.
2. Giải mã và Giải nén: Tiếp theo, script sẽ giải mã và giải nén kho lưu trữ ZIP. Quá trình này sử dụng các mật khẩu được mã hóa cứng (hardcoded) trong mã nguồn.
3. Thực thi mã độc: Cuối cùng, script thực thi một tệp nhị phân Windows PE có tên bridle.exe từ các nội dung đã giải nén. Sau đó, nó thực hiện các hoạt động dọn dẹp để xóa dấu vết.

Đa dạng hóa kỹ thuật tấn công

Một số biến thể của chiến dịch này đã sử dụng các script PowerShell được nhúng trực tiếp trong các tệp package.json. Điều này cho thấy các tác nhân đe dọa đã cố ý đa dạng hóa các cách triển khai để né tránh các cơ chế phát hiện khác nhau.

Phân tích Mã độc Vidar Infostealer

Tệp thực thi được trích xuất từ mỗi gói độc hại đã được xác định là Vidar v2 infostealer. Đây là một biến thể được biên dịch bằng ngôn ngữ Go của mã độc đánh cắp thông tin khét tiếng Vidar. Vidar lần đầu xuất hiện vào năm 2018 như một sự phát triển từ trojan Arkei trước đó.

Đặc điểm Vidar v2 và cơ chế đánh cắp dữ liệu

Không giống như các mẫu Vidar truyền thống được viết bằng C/C++, biến thể này đại diện cho một thế hệ mới của mã độc với các khả năng nâng cao để thỏa hiệp hệ thống nạn nhân.

Một khi được thực thi, Vidar tích cực thu thập dữ liệu nhạy cảm. Các loại dữ liệu này bao gồm thông tin đăng nhập trình duyệt, cookie, ví tiền điện tử, và các tệp hệ thống quan trọng.

Sau khi thu thập, thông tin bị đánh cắp sẽ được đóng gói thành các kho lưu trữ ZIP để exfiltrate (truyền ra ngoài) tới các máy chủ command-and-control (C2).

Cơ chế khám phá máy chủ C2

Điểm khác biệt của biến thể Vidar này là cơ chế khám phá cơ sở hạ tầng của nó. Mã độc này dựa vào các tài khoản Telegram và Steam được mã hóa cứng để truy xuất động các tên miền C2 đang hoạt động.

Mã độc Vidar truy vấn các hồ sơ mạng xã hội này để xác định cơ sở hạ tầng nào đang hoạt động. Điều này cho phép các tác nhân đe dọa xoay vòng các máy chủ C2 của họ mà không yêu cầu cập nhật gói độc hại.

Xóa dấu vết sau tấn công

Sau khi đánh cắp dữ liệu thành công, Vidar sẽ xóa tất cả dấu vết của chính nó khỏi hệ thống nạn nhân. Điều này làm phức tạp đáng kể việc phát hiện xâm nhập sau khi bị thỏa hiệp và các nỗ lực ứng phó sự cố của đội ngũ bảo mật.

Tác động và Biện pháp Phòng ngừa

Chiến dịch MUT-4831 một lần nữa nhấn mạnh tính dễ bị tổn thương của các hệ sinh thái gói mã nguồn mở đối với các cuộc tấn công chuỗi cung ứng. Nguy cơ từ các cuộc tấn công chuỗi cung ứng npm tiếp tục là một mối lo ngại lớn.

Cả hai tài khoản của tác nhân đe dọa đều được tạo mới và chỉ hoạt động trong vài ngày trước khi công bố. Điều này cho thấy việc thiết lập cơ sở hạ tầng có chủ đích đặc biệt cho cuộc tấn công này.

Sau khi được phát hiện, npm đã cấm vĩnh viễn cả hai tài khoản và gỡ bỏ tất cả các gói liên quan. Tuy nhiên, mã độc đã kịp tiếp cận hàng trăm hệ thống trước khi bị gỡ bỏ.

Chiến dịch này chứng minh rằng các tác nhân đe dọa đã học được rằng npm cung cấp một vector truy cập ban đầu đáng tin cậy. Nó cho phép phân phối mã độc đến hàng triệu người dùng hạ nguồn với ít rào cản.

Công nghệ Supply-Chain Firewall của Datadog cung cấp một cách tiếp cận giảm thiểu hiệu quả. Nó chặn các gói độc hại đã biết trước khi cài đặt. Điều này có khả năng ngăn chặn các chu kỳ ứng phó sự cố tốn kém trước khi chúng bắt đầu.

Để biết thêm chi tiết về nghiên cứu này, bạn có thể tham khảo bài viết gốc từ Datadog Security Labs: https://securitylabs.datadoghq.com/articles/mut-4831-trojanized-npm-packages-vidar/