Một chiến dịch malvertising tinh vi đã được phát hiện, nhắm mục tiêu vào người dùng thông qua các “dangling commits” trong một kho lưu trữ GitHub hợp pháp. Đây là một mối đe dọa mạng mới nổi, lợi dụng sự tin cậy vào nền tảng phát triển để phân phối phần mềm độc hại. Kẻ tấn công chèn nội dung quảng cáo cho một trình cài đặt GitHub Desktop giả mạo vào các dự án phát triển và mã nguồn mở phổ biến.

Khi người dùng tải xuống phiên bản dường như là ứng dụng khách chính hãng, trình cài đặt sẽ âm thầm phân phối các payload độc hại ở chế độ nền. Hành động này thỏa hiệp hệ thống mà không gây ra nghi ngờ ngay lập tức.

Chiến Thuật Malvertising Độc Đáo Trên GitHub

Các nhà nghiên cứu bảo mật lần đầu tiên quan sát chiến dịch này khi giám sát lưu lượng truy cập web. Họ phát hiện các chuyển hướng quảng cáo bất thường. Nạn nhân nhấp vào các biểu ngữ malvertising bị chuyển hướng đến các trang bị thỏa hiệp, cung cấp một bản dựng ứng dụng GitHub Desktop đã được cập nhật.

Thay vì lấy trình cài đặt chính thức, các trang này lại cung cấp một dropper đóng giả “GitHubDesktopSetup-x64.exe”. Việc thực thi dropper này kích hoạt một quy trình đa giai đoạn. Nó khởi chạy một script Windows Script Host (wscript.exe), script này sau đó thực thi các lệnh PowerShell để tải và chạy một payload DLL độc hại qua svchost.exe.

Payload này thiết lập liên lạc bền vững với máy chủ điều khiển và chỉ huy (C2). Điều này cho phép remote code execution, đánh cắp dữ liệu và khả năng di chuyển ngang trong môi trường doanh nghiệp. Đây là một biểu hiện rõ ràng của một mối đe dọa mạng nghiêm trọng.

Tận Dụng “Dangling Commits” Để Phát Tán Mã Độc

Chiến dịch này tận dụng sáng tạo nền tảng của GitHub để thiết lập sự tín nhiệm. Kẻ tấn công nhắm mục tiêu vào các dangling commits – các phiên bản mã tạm thời hoặc bị mồ côi được đẩy bởi những người đóng góp hợp pháp.

Điều này đảm bảo nội dung quảng cáo độc hại của chúng xuất hiện trong ngữ cảnh của một dự án đã được thiết lập. Người dùng nhìn thấy các cập nhật kho lưu trữ tin tưởng nguồn và tải xuống trình cài đặt, vô tình khởi động chuỗi lây nhiễm. Một mối đe dọa mạng khó phát hiện.

Các nhà nghiên cứu nhấn mạnh rằng dangling commits có thể bỏ qua việc giám sát kho lưu trữ thông thường. Chúng không hiển thị trong lịch sử nhánh chính. Kẻ tấn công khai thác điểm mù này để đặt các liên kết độc hại trong README hoặc ghi chú phát hành của dự án. Khi khách truy cập kho lưu trữ nhấp vào nút tải xuống, họ sẽ được chuyển hướng đến máy chủ bên ngoài do kẻ tấn công kiểm soát.

Kỹ Thuật Né Tránh và Mục Tiêu Của Kẻ Tấn Công Mạng

Các nhà nghiên cứu đã ghi nhận kẻ tấn công sử dụng các kỹ thuật che giấu phức tạp. Chúng nhúng các lệnh PowerShell được mã hóa vào bên trong các quy trình có vẻ vô hại.

Bằng cách tận dụng các tên quy trình hợp pháp và cơ chế của Windows, chiến dịch này né tránh các giải pháp phát hiện và phản hồi điểm cuối (EDR) thông thường. Cụ thể là các tác vụ đã lên lịch (schtasks.exe) để duy trì sự tồn tại và svchost.exe để thực thi ẩn danh.

Mục Tiêu Xâm Nhập và Rủi Ro An Ninh

Nạn nhân có thể không nhận ra rằng họ đã bị thỏa hiệp cho đến khi xuất hiện các bất thường. Ví dụ như các kết nối mạng không mong muốn hoặc sự tăng đột biến trong tiêu thụ tài nguyên. Mục tiêu bao trùm dường như là phân phối rộng rãi một backdoor có khả năng:

• Thu thập thông tin xác thực
• Triển khai công cụ khai thác tiền điện tử
• Cung cấp các module khai thác bổ sung

Đây là một mối đe dọa mạng đa chiều, có thể dẫn đến các hậu quả nghiêm trọng như rò rỉ dữ liệu hoặc tổn thất tài chính.

Biện Pháp Phòng Ngừa và Giảm Thiểu Rủi Ro

Để bảo vệ khỏi chiến thuật malvertising mới này, các tổ chức nên triển khai xác thực nghiêm ngặt các nguồn phần mềm trước khi cài đặt. Đây là một bước quan trọng trong việc tăng cường bảo mật thông tin.

Đối Với Người Dùng và Tổ Chức

Xác minh chữ ký mã và checksums với các kho lưu trữ chính thức của nhà cung cấp giúp đảm bảo trình cài đặt không bị giả mạo. Các nhóm bảo mật cũng nên giám sát nhật ký DNS và HTTP. Theo dõi các kết nối đến các miền hoặc địa chỉ IP không quen thuộc ngay sau khi tải xuống phần mềm.

Triển khai các giải pháp EDR dựa trên hành vi có thể phát hiện các hoạt động bất thường của PowerShell và script-host. Những hoạt động này thường lệch khỏi các mẫu sử dụng bình thường. Việc chủ động này giúp giảm thiểu mối đe dọa mạng từ các cuộc tấn công tinh vi.

Đối Với Nhà Phát Triển GitHub

Các nhà phát triển duy trì các dự án mã nguồn mở trên GitHub có thể giảm thiểu rủi ro bằng cách loại bỏ các dangling commits. Đồng thời, nên bật các quy tắc bảo vệ nhánh. Kiểm tra định kỳ siêu dữ liệu kho lưu trữ và các tài sản phát hành có thể phát hiện các sửa đổi trái phép trước khi chúng bị khai thác.

Ngoài ra, việc bật xác thực đa yếu tố (MFA) trên các tài khoản nhà phát triển giảm khả năng kẻ tấn công giành quyền truy cập để đẩy mã vào các kho lưu trữ ngay từ đầu. Điều này củng cố an ninh mạng chung.

Hợp Tác Cộng Đồng và Tầm Quan Trọng Của Phương Pháp Zero-Trust

Khi các kỹ thuật malvertising tiếp tục phát triển, sự hợp tác giữa các nhà cung cấp nền tảng và cộng đồng bảo mật là rất quan trọng. GitHub đã được thông báo về việc lạm dụng cơ sở hạ tầng của mình và đang nỗ lực tăng cường khả năng hiển thị cho các dangling commits.

Trong khi đó, các nhà nghiên cứu bảo mật kêu gọi người dùng cảnh giác. Hãy đặt câu hỏi về các lời nhắc cập nhật không mong muốn ngay cả trong các kho lưu trữ đáng tin cậy. Báo cáo hoạt động đáng ngờ kịp thời là rất cần thiết để đối phó với mối đe dọa mạng.

Chiến dịch mới nổi này nhấn mạnh tầm quan trọng của một cách tiếp cận zero-trust đối với chuỗi cung ứng phần mềm. Bằng cách giả định rằng không có gì an toàn một cách cố hữu và liên tục xác thực tính xác thực của mọi thành phần, các tổ chức có thể tự bảo vệ tốt hơn. Điều này giúp chống lại các mối đe dọa sáng tạo khai thác các quy trình làm việc lâu đời của nhà phát triển.