Nội dung bài viết
Sáu tuần vừa qua là một khoảng thời gian tồi tệ đối với công ty bảo mật Checmarx. Trong 40 ngày qua, nó là nạn nhân của ít nhất một cuộc tấn công chuỗi cung ứng đã phát tán phần mềm độc hại cho khách hàng trong hai lần riêng biệt.
Bây giờ nó đã bị tấn công bởi một cuộc tấn công ransomware từ các tin tặc tìm kiếm danh tiếng. Chuỗi bất hạnh bắt đầu vào ngày 19 tháng 3 với cuộc tấn công vào chuỗi cung ứng của Trivy, một công cụ quét lỗ hổng được sử dụng rộng rãi.
Những kẻ tấn công đằng sau vụ vi phạm đầu tiên đã xâm nhập vào tài khoản Trivy GitHub và sau đó sử dụng quyền truy cập của họ để đẩy phần mềm độc hại đến người dùng Trivy, một trong số đó là Checkmarx.
Phần mềm độc hại được đẩy đã quét sạch các máy bị nhiễm để tìm mã thông báo kho lưu trữ, khóa SSH và các thông tin xác thực khác. Bốn ngày sau, tài khoản GitHub của Checkmarx bị xâm phạm và bắt đầu phát tán phần mềm độc hại đến người dùng của công ty bảo mật này.
Công ty đã ngăn chặn và khắc phục vi phạm cũng như thay thế phần mềm độc hại bằng các ứng dụng hợp pháp. Hoặc Checkmarx nghĩ vậy.
Vào ngày 22 tháng 4, tài khoản GitHub của công ty đã phát tán một làn sóng phần mềm độc hại mới, cho thấy rằng vi phạm trước đó chưa được khắc phục hoàn toàn hoặc đã xảy ra một vụ hack mới không xác định. Công ty một lần nữa nỗ lực loại bỏ những kẻ tấn công ra khỏi tài khoản.
Theo công ty bảo mật Socket, o Kho lưu trữ Checkmarx/kics Docker Hub chính thức cũng xuất bản các gói độc hại cùng thời điểm. Vào thứ Hai, Checkmarx tiết lộ có một chương khác của câu chuyện.
Công ty cho biết tuần trước một nhóm ransomware được theo dõi là Lapsu$ đã đưa một lượng dữ liệu riêng tư lên web đen. Dấu ngày của tài liệu bị bán phá giá là ngày 30 tháng 3.
Dựa trên dấu ngày, có vẻ như những kẻ tấn công vẫn duy trì quyền truy cập vào tài khoản GitHub sau khi Checkmarx phát hiện ra sự xâm phạm vào ngày 23 tháng 3 và nỗ lực xua đuổi chúng đã không thành công.
“Bằng chứng hiện tại chỉ ra rằng dữ liệu này có nguồn gốc từ kho lưu trữ GitHub của Checkmarx và việc truy cập vào các kho lưu trữ đó đã được tạo điều kiện thuận lợi thông qua cuộc tấn công chuỗi cung ứng ban đầu vào ngày 23 tháng 3 năm 2023,” Checkmarx cho biết hôm thứ Hai.
Công ty không cho biết loại dữ liệu nào đã bị rò rỉ. Checkmarx không phải là công ty bảo mật duy nhất phải gánh chịu hậu quả của sự cố Trivy.
Ổ cắm cho biết một công ty bảo mật khác, Bitwarden, cũng bị tấn công trong chuỗi cung ứng tương tự. Ổ cắm đã liên kết vi phạm Bitwarden với chiến dịch Trivy vì tải trọng sử dụng cùng cơ sở hạ tầng cốt lõi và điểm cuối C2 như phần mềm độc hại Checkmarx.
Cuộc tấn công Trivy được thực hiện bởi một gr oup tự gọi mình là TeamPCP. Nhóm này là một trong những hoạt động môi giới truy cập thành công nhất, một nhóm tin tặc chuyên đập phá và lấy thông tin xác thực từ nạn nhân rồi bán chúng cho các tin tặc khác.
Chìa khóa cho sự phát triển của nó là việc nhắm mục tiêu vào các công cụ đã có quyền truy cập đặc quyền.
Trong trường hợp của Checkmarx, có vẻ như TeamPCP đã bán thông tin đăng nhập truy cập cho Lapsu$, một nhóm ransomware bao gồm hầu hết thanh thiếu niên được biết đến nhiều nhờ kỹ năng xâm nhập các công ty lớn cũng như những lời chế nhạo và khoe khoang khi thành công.
Các sự cố cho thấy tác động xếp tầng mà một vi phạm đơn lẻ có thể gây ra. Với cả Checkmarx và Bitwarden bị ảnh hưởng, có thể sẽ có các cuộc tấn công mới nhằm vào khách hàng hoặc đối tác của họ và thậm chí có thể dẫn đến nhiều thỏa hiệp hơn nữa từ những điều đó.
Giám đốc điều hành của Socket, Feross Aboukhadijeh cho biết trong một email rằng các tổ chức bảo mật là mục tiêu cụ thể vì sản phẩm của họ gần với dữ liệu nhạy cảm và sự phân phối rộng rãi của chúng trên Internet. Aboukhadijeh nói: “Bạn sẽ thấy chủ đề tương tự này xuyên suốt những thỏa hiệp này.
“Những kẻ tấn công đang coi các công cụ bảo mật vừa là mục tiêu vừa là cơ chế phân phối.
Chúng đang tấn công các sản phẩm mà lẽ ra phải bảo vệ chuỗi cung ứng, sau đó sử dụng chính những sản phẩm đó để đánh cắp thông tin xác thực và chuyển sang nạn nhân tiếp theo.” Ars Technica đã tách tín hiệu khỏi tiếng ồn trong hơn 25 năm.
Với sự kết hợp độc đáo giữa hiểu biết về kỹ thuật và mối quan tâm sâu rộng đến nghệ thuật và khoa học công nghệ, Ars là nguồn đáng tin cậy trong biển thông tin. Suy cho cùng, bạn không cần phải biết mọi thứ, chỉ cần biết những gì quan trọng.
Gợi ý thực hành:
1. Theo dõi thông báo từ cơ quan địa phương tại California.
2. Kiểm tra nguồn chính thức trước khi chia sẻ lại thông tin.