Làn sóng tấn công chuỗi cung ứng npm: Chuyện gì đã xảy ra? Làm thế nào để giảm thiểu rủi ro?

Original Article Title: "Tấn Công Chuỗi Cung Ứng Lan Rộng Chỉ Sau Một Đêm: Đã Xảy Ra Gì? Làm Sao Giảm Thiểu Rủi Ro?"

Original Article Author: Azuma, Odaily

Vào ngày 9 tháng 9, theo múi giờ Đông 8, Giám đốc Công nghệ của Ledger, Charles Guillemet, đã đăng cảnh báo trên X, cho biết: "Một cuộc tấn công chuỗi cung ứng quy mô lớn đang diễn ra, tài khoản NPM của một nhà phát triển nổi tiếng đã bị xâm nhập. Gói phần mềm bị ảnh hưởng đã được tải xuống hơn 1 tỷ lần, cho thấy toàn bộ hệ sinh thái JavaScript có thể đang gặp rủi ro."

Guillemet giải thích thêm: "Mã độc hoạt động bằng cách âm thầm thay đổi địa chỉ tiền mã hóa trong nền để đánh cắp tài sản. Nếu bạn sử dụng ví cứng, hãy kiểm tra cẩn thận từng giao dịch ký và bạn sẽ an toàn. Nếu bạn không sử dụng ví cứng, vui lòng tạm thời tránh thực hiện bất kỳ giao dịch on-chain nào. Hiện vẫn chưa rõ liệu kẻ tấn công đã đánh cắp được cụm từ ghi nhớ của ví phần mềm hay chưa."

Đã Xảy Ra Gì?

Theo báo cáo bảo mật được Guillemet trích dẫn, nguyên nhân trực tiếp của sự cố này là: tài khoản NPM của nhà phát triển nổi tiếng @qix đã bị xâm nhập, dẫn đến việc phát hành các phiên bản độc hại của hàng chục gói phần mềm, bao gồm chalk, strip-ansi và color-convert. Mã độc có thể đã lan sang người dùng cuối khi các nhà phát triển hoặc người dùng tự động cài đặt các phụ thuộc.

Odaily Note: Dữ liệu số lượt tải xuống hàng tuần của các gói phần mềm bị xâm nhập.

Tóm lại, đây là một ví dụ điển hình về tấn công chuỗi cung ứng—khi kẻ tấn công cấy mã độc (chẳng hạn như gói NPM) vào công cụ phát triển hoặc hệ thống phụ thuộc để thực hiện các hoạt động độc hại. NPM, viết tắt của Node Package Manager, là công cụ quản lý gói được sử dụng rộng rãi nhất trong hệ sinh thái JavaScript/Node.js. Chức năng chính của nó bao gồm quản lý phụ thuộc, cài đặt và cập nhật gói, chia sẻ mã, v.v.

Do quy mô khổng lồ của hệ sinh thái NPM, hiện có hàng triệu gói phần mềm, gần như tất cả các dự án Web3, ví tiền mã hóa và công cụ frontend đều phụ thuộc vào NPM—đây chính là lý do tại sao các phụ thuộc rộng lớn và chuỗi liên kết phức tạp của NPM khiến nó trở thành điểm vào có rủi ro cao cho các cuộc tấn công chuỗi cung ứng. Bằng cách cấy mã độc vào một gói phần mềm phổ biến, kẻ tấn công có thể ảnh hưởng đến hàng nghìn ứng dụng và người dùng.

Như thể hiện trong sơ đồ luồng lây lan mã độc ở trên:

· Một dự án nào đó (hộp màu xanh) phụ thuộc trực tiếp vào một số thư viện mã nguồn mở phổ biến, chẳng hạn như express.

· Các phụ thuộc trực tiếp này (hộp màu xanh lá) sau đó lại phụ thuộc vào các phụ thuộc gián tiếp khác (hộp màu vàng, như lodash).

· Nếu một phụ thuộc gián tiếp bị kẻ tấn công bí mật cấy mã độc (hộp màu đỏ), nó sẽ lan truyền theo chuỗi phụ thuộc vào dự án đó.

Điều Này Có Ý Nghĩa Gì Đối Với Tiền Mã Hóa?

Mối liên hệ trực tiếp của sự cố bảo mật này với ngành công nghiệp tiền mã hóa là mã độc được hacker cấy vào các gói phần mềm bị xâm nhập ở trên là một "clipboard hijacker" tiền mã hóa tinh vi, đánh cắp tài sản tiền mã hóa bằng cách thay thế địa chỉ ví và chiếm quyền giao dịch.

Nhà sáng lập Stress Capital, GE (@GuarEmperor), đã giải thích thêm về điều này trên X, cho biết "clipboard hijacker" của hacker áp dụng hai chế độ tấn công—thụ động sử dụng thuật toán Levenshtein distance để thay thế địa chỉ ví, khiến chúng trông giống nhau và rất khó phát hiện; chủ động sửa đổi địa chỉ mục tiêu trong ví tiền mã hóa được phát hiện trên trình duyệt trước khi người dùng ký giao dịch.

Vì cuộc tấn công này nhắm vào các thư viện tầng nền tảng của các dự án JavaScript, ngay cả các dự án phụ thuộc gián tiếp vào các thư viện này cũng có thể bị ảnh hưởng.

Hacker Kiếm Lợi Như Thế Nào?

Mã độc do hacker cấy vào cũng tiết lộ các địa chỉ tấn công của họ. Địa chỉ tấn công chính của hacker trên Ethereum là 0xFc4a4858bafef54D1b1d7697bfb5c52F4c166976, với nguồn tiền chủ yếu đến từ ba địa chỉ sau:

· 0xa29eEfB3f21Dc8FA8bce065Db4f4354AA683c0240

· x40C351B989113646bc4e9Dfe66AE66D24fE6Da7B

· 0x30F895a2C66030795131FB66CBaD6a1f91461731

Nhóm Arkham đã tạo một trang theo dõi cho sự kiện tấn công này, nơi bạn có thể tra cứu thông tin thời gian thực về lợi nhuận và chuyển khoản của hacker.

Tại thời điểm viết bài, cuộc tấn công của hacker mới chỉ thu về 496 đô la, nhưng xét đến mức độ lây lan của mã độc vẫn chưa xác định, con số này dự kiến sẽ tiếp tục tăng—nhà phát triển đã được thông báo và đang tích cực phối hợp với nhóm bảo mật NPM để xử lý sự cố. Mã độc đã được gỡ bỏ khỏi hầu hết các gói bị ảnh hưởng, vì vậy tình hình đã được kiểm soát.

Làm Sao Giảm Thiểu Rủi Ro?

Nhà sáng lập Defillama @0xngmi cho biết, theo X, mặc dù sự kiện này nghe có vẻ nguy hiểm, nhưng tác động thực tế không quá lan rộng—vì sự kiện này chỉ ảnh hưởng đến các website đã cập nhật kể từ khi gói NPM bị xâm nhập được phát hành, các dự án khác vẫn sử dụng phiên bản cũ; và hầu hết các dự án sẽ khóa phụ thuộc, nên ngay cả khi cập nhật, họ vẫn dùng mã an toàn cũ.

Tuy nhiên, vì người dùng cuối không thể thực sự biết dự án có khóa phụ thuộc hay có phụ thuộc nào được tải về động hay không, hiện tại điều quan trọng là dự án cần chủ động tự kiểm tra và công khai thông tin.

Tính đến thời điểm viết bài, một số dự án ví hoặc ứng dụng, bao gồm MetaMask, Phantom, Aave, Fluid, Jupiter, đều đã công khai rằng họ không bị ảnh hưởng bởi sự kiện này. Do đó, về lý thuyết, người dùng có thể yên tâm sử dụng các ví đã được xác nhận an toàn để truy cập an toàn vào các giao thức đã được xác nhận an toàn. Tuy nhiên, đối với các ví hoặc dự án chưa công bố thông tin bảo mật, tạm thời tránh sử dụng có thể là lựa chọn an toàn hơn.