Nội dung bài viết
73 gói chạy phần mềm đánh cắp tự sao chép ngay khi được tác nhân AI mở. Hàng chục gói nguồn mở được xác minh bằng mật mã từ Microsoft đã bị xâm phạm vào cuối tuần trước để thêm mã đánh cắp thông tin xác thực nâng cao được kích hoạt khi các nhà phát triển mở chúng trong các tác nhân mã hóa AI.
Tổng cộng, nhiều nhà nghiên cứu cho biết, 73 gói đã bị gắn cờ là độc hại khi hệ thống tự động trên GitHub chặn chúng trên nền tảng này.
Thay vì lưu ý rằng chúng độc hại — và rằng các nhà phát triển đã sử dụng tác nhân AI để làm việc với họ nên cho rằng hệ thống của họ đã bị xâm phạm — GitHub thuộc sở hữu của Microsoft cho biết họ đã vô hiệu hóa các gói “do vi phạm điều khoản dịch vụ của GitHub”.
Văn bản tiếp tục khuyến khích chủ sở hữu gói liên hệ với GitHub. Phải đến thứ Hai, Microsoft mới nêu lên khả năng các gói này đã bị nhiễm độc.
Trong một email, công ty cho biết: “Chúng tôi đã tạm thời xóa một số kho lưu trữ khi chúng tôi điều tra nội dung độc hại tiềm ẩn”. Vụ việc này là cuộc tấn công chuỗi cung ứng thứ hai trong nhiều tháng nhằm xâm phạm tài khoản kho lưu trữ chính thức của Microsoft.
Vào giữa tháng 5, công ty StepSecurity đã ghi lại sự xâm phạm của SDK Python bền bỉ của Microsoft trên PyPI. các pa ckage là một khuôn khổ để xây dựng các quy trình và điều phối công việc có khả năng chịu lỗi nhằm tự động hóa các giao dịch phân tán và các quy trình công việc khác.
Nó nhận được 400.000 lượt tải xuống mỗi tháng. Các gói xâm phạm đã thực thi trọng tải 28 KB nhằm đánh cắp thông tin đăng nhập từ AWS, Azure, GCP, Kubernetes, trình quản lý mật khẩu và hơn 90 cấu hình công cụ dành cho nhà phát triển.
Sau đó, nó lây lan ngang qua cơ sở hạ tầng đám mây để lây nhiễm sang các máy của nhà phát triển khác. Cuộc tấn công, có liên quan đến một tác nhân đe dọa được theo dõi là TeamPCP, đã đầu độc gói nhiệm vụ bền bỉ sau khi xâm phạm thông tin đăng nhập của Microsoft để xuất bản gói.
Kỹ thuật này cho phép kẻ tấn công bỏ qua hoàn toàn đường dẫn xây dựng của kho lưu trữ. Phần mềm độc hại được sử dụng trong cuộc tấn công được theo dõi là Miasma.
Về cơ bản, nó là một bản sao của bộ công cụ Mini Shai-Hulud của TeamPCP mà kẻ đe dọa đã cấp nguồn mở gần đây.
Công ty bảo mật Cloudsmith cho biết phần mềm độc hại thu thập thông tin xác thực mã thông báo OIDC (OpenID-Connect) được sử dụng trong chứng thực xuất xứ SLSA (Cấp chuỗi cung ứng cho các tạo tác phần mềm), một phương pháp cung cấp các đảm bảo được ký bằng mật mã về tính toàn vẹn của phần mềm.
Như trường hợp của sự xâm phạm vào tháng 5 đối với nhiệm vụ bền vững của Microsoft, một tuần trước đã sử dụng chức năng này để đánh cắp mã thông báo Microsoft OIDC hợp pháp. Nó cũng được sử dụng trong một cuộc tấn công chuỗi cung ứng riêng biệt nhằm đầu độc hàng chục gói Red Hat.
Cloudsmith cho biết: “Sự ưu việt của sâu Miasma này nằm ở cách nó tuân thủ các quy trình công việc hợp pháp”. "Nó không khai thác bất kỳ lỗ hổng phần mềm nào trong GitHub hoặc npm.
Thay vào đó, nó khai thác mô hình tin cậy cơ bản của hệ sinh thái kỹ thuật hiện đại." Công ty tiếp tục: Tín dụng nhà phát triển bị xâm phạm dẫn đến việc yêu cầu mã thông báo GitHub OIDC hợp pháp.
Tiếp theo đó là một bản dựng độc hại được xuất bản với nguồn gốc SLSA hợp lệ, cuối cùng dẫn đến việc các máy quét thông thường coi đây là bản cập nhật đáng tin cậy định kỳ.
Bằng cách đánh cắp thông tin đăng nhập hợp pháp của người bảo trì, sâu có thể hoạt động chính xác như một nhà xuất bản được xác thực sẽ làm. Hơn nữa, Miasma tạo ra một tải trọng được mã hóa duy nhất cho mỗi lần lây nhiễm riêng lẻ.
Điều này có nghĩa là các IOC dựa trên hàm băm truyền thống không có chức năng để phát hiện rộng rãi vì chữ ký tệp thay đổi theo từng phiên bản gói. Andrew McNamara của Red Hat đã giải thích trong một bài đăng trên blog riêng về ranh giới của SLSA chưa đạt được.
Trong khi các phiên bản trước của Mini Shai-Hulu d tập trung hoàn toàn vào việc thu thập bí mật cục bộ, sâu Miasma dường như có các trình thu thập dữ liệu nâng cao được thiết kế đặc biệt cho nhận dạng đám mây trong GCP và Azure.
Nó cố gắng thu thập mọi danh tính đám mây mà máy phát triển bị nhiễm và người chạy CI/CD có quyền truy cập, chứng minh ý định rõ ràng của các tác nhân đe dọa nhằm tận dụng quyền truy cập từ cơ sở mã và trực tiếp vào môi trường đám mây trực tiếp.
Chức năng đánh cắp thông tin xác thực trong sâu Miasma lây nhiễm vào các gói của Microsoft đã được kích hoạt ngay khi nhà phát triển mở nó trong các tác nhân AI, bao gồm Claude Code, Gemini CLI, Cursor và VS Code.
Các cuộc tấn công tiếp theo có khả năng xảy ra trong trường hợp có tính khả thi cao là thông tin xác thực đã được thu thập thành công từ các máy mở gói của một trong các tác nhân AI bị ảnh hưởng.
Tài khoản Microsoft GitHub bị xâm phạm trong cuộc tấn công tháng 5 cũng chính là tài khoản được sử dụng vào cuối tuần trước. Hiện chưa rõ lời giải thích cho sự thỏa hiệp kép này.
Điều đó có thể có nghĩa là Microsoft không thể thay đổi hoàn toàn thông tin xác thực cho tài khoản. Đó cũng có thể là kết quả của một gói không xác định chạy trên máy của nhà phát triển Microsoft đã đánh cắp thông tin xác thực mới.
Microsoft không cung cấp thông tin chi tiết tại khoảnh khắc. Việc xác minh mật mã tự sao chép của các gói độc hại và khả năng vượt qua việc phát hiện dựa trên hàm băm khiến các cuộc tấn công khó bị phát hiện.
Và như sự xâm phạm tiếp theo của cùng một tài khoản Microsoft cho thấy, những vi phạm này có thể khó khắc phục hoàn toàn.
Bất kỳ ai chạm vào bất kỳ gói nào trong số 73 gói—được liệt kê ở đây—nên dừng mọi việc khác họ đang làm và điều tra kỹ lưỡng, kẻo có bất kỳ thông tin đăng nhập nào bị xâm phạm sẽ được sử dụng trong các cuộc tấn công trong tương lai. Ars Technica đã tách tín hiệu khỏi tiếng ồn trong hơn 25 năm.
Với sự kết hợp độc đáo giữa hiểu biết về kỹ thuật và mối quan tâm sâu rộng đến nghệ thuật và khoa học công nghệ, Ars là nguồn đáng tin cậy trong biển thông tin. Suy cho cùng, bạn không cần phải biết mọi thứ, chỉ cần biết những gì quan trọng.
Gợi ý thực hành:
1. Theo dõi thông báo từ cơ quan địa phương tại California.
2. Kiểm tra nguồn chính thức trước khi chia sẻ lại thông tin.