Cuộc tấn công chuỗi cung ứng nhắm vào Python gây ảnh hưởng 170,000 người dùng

Hơn 170,000 nhà phát triển Python đã trở thành nạn nhân của một chương trình mã độc tinh vi nhằm đánh cắp dữ liệu nhạy cảm. Nhóm nghiên cứu cho biết đây là cuộc tấn công nhắm vào chuỗi cung ứng phần mềm bao gồm cả việc truy cập thành công Top.gg GitHub, một cộng đồng phổ biến dành cho máy chủ Discord.

Những kẻ tấn công đã sử dụng cách tiếp cận đa hướng, kết hợp chiếm đoạt tài khoản GitHub của các nhà phát triển Python để phân phối malware bằng cách tạo phiên bản giả mạo của gói phần mềm Python tùy chỉnh để phát tán phần mềm độc hại.

1. Khai thác tài khoản và đánh cắp thông tin xác thực: Tin tặc sử dụng các phương pháp tấn công để đánh cắp thông tin xác thực từ các tài khoản của những lập trình viên. Thông tin này bao gồm tên đăng nhập, mật khẩu hoặc các phiên cookie để truy cập vào các dịch vụ như GitHub.

2. Tạo và lây nhiễm phần mềm độc hại thông qua chuỗi cung ứng: Tin tặc tạo ra một kho lưu trữ giả mạo trên GitHub, giống hệt với kho lưu trữ chính thức nhằm đánh lừa người dùng. Chúng tạo một phiên bản giả mạo của một gói phần mềm Python phổ biến, chẳng hạn như “colorama”. Bằng cách phân phối phiên bản giả mạo này thông qua kho lưu trữ giả mạo, mã độc được cài đặt lên hệ thống của người dùng mà không họ hề biết.

3. Tin tặc xâm nhập và chiếm quyền truy cập vào tài khoản GitHub của các lập trình viên uy tín: Tin tặc sử dụng tài khoản này để giả mạo, bao gồm đưa mã độc vào các kho lưu trữ chính thức và đánh dấu các kho lưu trữ độc hại, sử dụng các tài khoản của các lập trình viên này tạo độ tin tưởng cao và tăng khả năng xâm nhập vào các hệ thống khác.

4. Phân phối mã độc và tấn công Top.gg: Cộng đồng bot Top.gg Discord với hơn 170,000 thành viên đã bị ảnh hưởng bởi một cuộc tấn công vào chuỗi cung ứng nhằm lây nhiễm phần mềm độc hại cho các nhà phát triển nhằm đánh cắp thông tin nhạy cảm. Kẻ đe dọa đã sử dụng một số chiến thuật, kỹ thuật và quy trình (TTPs) trong nhiều năm, bao gồm chiếm đoạt tài khoản GitHub, phân phối các gói Python độc hại, sử dụng cơ sở hạ tầng Python giả và kỹ nghệ xã hội.

Bảo vệ tài khoản trong thế giới mã nguồn mở

Cuộc tấn công này nhấn mạnh những rủi ro trong chuỗi cung ứng phần mềm. Vì vậy, các nhà phát triển Python nên:

1. Tăng cường bảo mật tài khoản: Sử dụng mật khẩu mạnh và duy nhất cho mỗi tài khoản. Kích hoạt xác thực đa yếu tố (MFA) để bảo vệ tài khoản khỏi việc đánh cắp thông tin xác thực. Theo dõi và cập nhật các thông tin xác thực đăng nhập, bao gồm cả mật khẩu và các phiên cookie.

2. Xác minh và kiểm tra nguồn gốc mã nguồn: Trước khi cài đặt bất kỳ gói phần mềm Python nào, hãy xác minh và kiểm tra nguồn gốc của mã nguồn. Tìm hiểu về tác giả, kho lưu trữ chính thức và cách phân phối phần mềm. Báo cáo các mối đe dọa tiềm ẩn, chia sẻ thông tin và công tác để cải thiện tính bảo mật trong hệ sinh thái Python.

3. Cập nhật và quản lý gói phần mềm: Luôn luôn cập nhật các gói phần mềm Python lên phiên bản mới nhất để tận dụng các bản vá lỗi và bảo mật. Sử dụng công cụ quản lý gói như pip để kiểm tra và cập nhật các gói phần mềm.