Một nhóm tự xưng là đội Web3 của Ukraine đã nhắm mục tiêu vào một thành viên cộng đồng trong vòng phỏng vấn đầu tiên. Kẻ tấn công đã hướng dẫn ứng viên sao chép và chạy một kho lưu trữ GitHub có tên EvaCodes-Community/UltraX. Sự việc này tiềm ẩn nguy cơ rò rỉ dữ liệu nghiêm trọng.

Phát Hiện và Phân Tích Mối Đe Dọa Mạng

Nghi ngờ có điều bất thường, cá nhân này đã liên hệ với đội ngũ bảo mật SlowMist. SlowMist đã tiến hành phân tích kỹ lưỡng và phát hiện các thành phần độc hại được nhúng trong các dependencies của dự án. Với sự đồng ý của nạn nhân, SlowMist đã phát hành một cảnh báo công khai, làm rõ các rủi ro liên quan đến mối đe dọa mạng này.

Kho lưu trữ này, bề ngoài là một dự án mã nguồn mở hợp pháp, gần đây đã cập nhật tệp package.json. Nó đã thay thế gói [email protected] đã bị phản đối bằng một gói mới là [email protected].

Trước đó, [email protected] đã bị đội ngũ bảo mật của npm gỡ bỏ do chứa mã độc. Gói [email protected] mới được xuất bản lại liên kết đến một nguồn GitHub đã bị xóa, làm tăng thêm nghi ngờ.

Cơ Chế Hoạt Động của Mã Độc

Giải Mã và Khai thác Dữ liệu

Phân tích sâu hơn tại SlowMist Medium đã tiết lộ sự độc hại trong thư mục /rtk-logger/lib/utils/smtp-connection của gói. Cụ thể, tệp index.js nhập các mô-đun, đọc tệp LICENSE qua fs.readFile, phân tích nó thông qua một hàm tùy chỉnh parseLib() trong parse.js, và thực thi đầu ra bằng eval().

Hàm parseLib() này sử dụng giải mã AES-256-CBC với các khóa và IV được mã hóa cứng để làm rõ mã bị che giấu từ văn bản mã hóa thập lục phân, phơi bày một payload được thiết kế để né tránh sự phát hiện.

Những nỗ lực giải mã của SlowMist đã xác nhận [email protected] là một gói npm bị trojan hóa, được thiết kế chuyên biệt để đánh cắp dữ liệu. Mục tiêu chính của tấn công mạng này là thu thập thông tin nhạy cảm từ hệ thống nạn nhân.

Mục Tiêu Rò Rỉ Dữ liệu

Mã độc này được mã hóa cứng các đường dẫn đến các trình duyệt như Chrome, Brave, Opera và Firefox. Nó nhắm mục tiêu vào dữ liệu tiện ích mở rộng, các tệp ví tiền điện tử, và thông tin người dùng nhạy cảm như thông tin đăng nhập, khóa mã hóa và chứng chỉ.

Các chức năng như uploadFiles() quét và trích xuất các tệp cấu hình từ các trình duyệt này cùng với các tiện ích mở rộng ví tiền điện tử. Dữ liệu này sau đó được gói lại để tải lên máy chủ do kẻ tấn công kiểm soát tại địa chỉ 144.172.112.106. Đây là một điểm trọng yếu cho thấy hoạt động rò rỉ dữ liệu.

Các routine chuyên biệt bao gồm:

• uploadMozilla(): Dành cho dữ liệu cụ thể của Firefox.
• uploadEs(): Dành cho các hiện vật của ví Exodus.
• UpKeychain(): Dành cho mật khẩu và chứng chỉ được lưu trữ trong macOS Keychain.
• UpUserData(): Dành cho việc trích xuất thông tin đăng nhập trình duyệt rộng hơn.

Chức năng Upload() truyền tải dữ liệu đã thu thập được ở dạng thô, không mã hóa hoặc xử lý, làm tăng rủi ro phơi nhiễm dữ liệu lên mức cao nhất.

Payload Phụ và Chiếm Quyền Điều Khiển

Ngoài việc trích xuất dữ liệu, gói mã độc còn thực thi các payload bổ sung:

• runP(): Kiểm tra hoặc tải xuống một kho lưu trữ nén từ cùng địa chỉ IP (144.172.112.106), giải nén và có thể triển khai thêm mã độc.

• Xt(): Thích ứng với hệ điều hành. Trên Windows, nó xác minh sự có sẵn của python.exe trước khi tìm nạp và chạy một script Python từ xa. Trên các hệ điều hành khác, nó gọi trực tiếp python3.

• Các thành phần khác, chẳng hạn như aj, thiết lập kết nối socket.io-client đến 172.86.64.67 để thực hiện lệnh và kiểm soát (C2). Điều này cho phép thực thi lệnh từ xa, phát hiện môi trường (ví dụ: kiểm tra ảo hóa), và ghi nhật ký. Đây là dấu hiệu rõ ràng của khả năng chiếm quyền điều khiển hệ thống.

• Các script như ak, al, và am mở rộng bề mặt tấn công với khả năng đánh cắp dữ liệu trình duyệt, quét hệ thống tệp để tìm các tệp nhạy cảm, keylogging, chụp ảnh màn hình và giám sát clipboard. Tất cả các đầu ra này đều được chuyển đến các điểm cuối của kẻ tấn công.

Các Biến Thể và Nguy Cơ Tiếp Diễn

Các fork của kho lưu trữ ban đầu, bao gồm cả những fork do kylengn, taqveemahsan và zinping tạo ra, vẫn giữ nguyên gói [email protected] gốc. Điều này làm cho mối đe dọa tiếp tục tồn tại và mở rộng phạm vi ảnh hưởng của chiến dịch tấn công mạng này.

Chỉ Số Nhận Dạng Sự Cố (IOCs)

Các chỉ số kỹ thuật sau đây có thể được sử dụng để phát hiện và ứng phó với mối đe dọa mạng này:

• Địa chỉ IP máy chủ C2 và exfiltration:
  • 144.172.112.106
  • 172.86.64.67
• Tên gói npm độc hại:
  • [email protected]
  • [email protected] (đã bị gỡ bỏ nhưng vẫn tồn tại trong các fork cũ)
• Tên kho lưu trữ GitHub độc hại:
  • EvaCodes-Community/UltraX

Đề Xuất Phòng Ngừa và An Ninh Mạng

Sự cố này một lần nữa nhấn mạnh việc kẻ tấn công lợi dụng các lời mời phỏng vấn hoặc cơ hội việc làm để triển khai các công cụ đánh cắp thông tin (infostealers), gây ra rủi ro đánh cắp tài sản và rò rỉ dữ liệu.

SlowMist khuyến nghị mạnh mẽ việc cô lập các dự án không rõ nguồn gốc trong các môi trường sandbox không chứa dữ liệu nhạy cảm. Điều này giúp ngăn chặn mã độc thực thi và tiếp cận các tài nguyên quan trọng.

Là một công ty bảo mật blockchain hoạt động từ năm 2018, SlowMist đã kiểm toán nhiều sàn giao dịch lớn như Binance và OKX. Điều này càng nhấn mạnh tầm quan trọng của các biện pháp phòng thủ chủ động chống lại các lỗ hổng hệ sinh thái tương tự để đảm bảo an ninh mạng.