Tóm tắt nhanh
- Microsoft cho biết tin tặc đã xâm nhập vào một gói phần mềm tải xuống của Mistral AI được các nhà phát triển sử dụng.
- Mã độc bị cáo buộc đã đánh cắp thông tin xác thực và có thể gây hư hại cho một số hệ thống Linux.
- Mistral cho biết không có bằng chứng cho thấy cơ sở hạ tầng của họ bị xâm nhập.
Microsoft Threat Intelligence cho biết hôm thứ Hai rằng tin tặc đã chèn mã độc vào một gói phần mềm của Mistral AI được phân phối thông qua PyPI, một nền tảng phổ biến mà các nhà phát triển sử dụng để tải các công cụ phần mềm Python.
Trong một bài đăng trên X, Microsoft cho biết mã độc sẽ tự động chạy khi các nhà phát triển sử dụng phần mềm trên hệ thống Linux. Đoạn mã này tải xuống một tệp độc hại thứ hai có tên transformers.pyz từ một máy chủ từ xa và khởi chạy nó ở chế độ nền.
“Tên tệp transformers.pyz dường như được cố tình lựa chọn để bắt chước thư viện Hugging Face Transformers phổ biến và hòa lẫn vào các môi trường ML/dev,” Microsoft viết.
Công ty cho biết mã độc chủ yếu hoạt động như một công cụ đánh cắp thông tin xác thực, có khả năng thu thập thông tin đăng nhập của nhà phát triển và các access token. Microsoft cũng cho biết mã độc tránh hoạt động trên các hệ thống sử dụng ngôn ngữ Nga và chứa đoạn mã có thể xóa ngẫu nhiên các tệp trên một số hệ thống dường như đặt tại Israel hoặc Iran.
Các báo cáo liên kết cuộc tấn công mới nhất này với chiến dịch mã độc “Shai-Hulud” lớn hơn, bắt đầu từ tháng 9 và nhắm vào chuỗi cung ứng phần mềm bằng cách lây nhiễm vào các gói phần mềm đáng tin cậy dành cho nhà phát triển và đánh cắp thông tin xác thực từ các hệ thống bị xâm nhập.
“Shai-Hulud, con sâu Git đáng sợ mà mọi người liên tục bàn tán, hiện đã được mã nguồn mở,” công ty an ninh mạng VX Underground viết trên X. “Điều đó có nghĩa là gì? TeamPCP hoặc một ai đó khác đã phát hành hoàn toàn con sâu được vũ khí hóa để bạn sử dụng.”
Microsoft khuyến nghị các tổ chức cô lập các hệ thống Linux bị ảnh hưởng, chặn địa chỉ internet liên quan, tìm kiếm dấu hiệu lây nhiễm và thay thế các thông tin xác thực có khả năng đã bị lộ.
Vào thứ Ba, Mistral cho biết trên trang web của mình rằng công ty đã bị ảnh hưởng bởi một cuộc tấn công chuỗi cung ứng liên quan đến sự cố bảo mật TanStack quy mô lớn hơn. Công ty cho biết một con sâu tự động liên quan đến cuộc tấn công đã dẫn đến việc phát hành các phiên bản gói NPM và PyPI bị xâm nhập.
“Cuộc điều tra hiện tại cho thấy có liên quan đến một thiết bị của nhà phát triển đã bị ảnh hưởng,” công ty viết. “Chúng tôi không có dấu hiệu nào cho thấy cơ sở hạ tầng của Mistral bị xâm nhập.”
Node Package Manager hay NPM là một trong những nền tảng tải phần mềm lớn nhất thế giới dành cho các nhà phát triển JavaScript. Nền tảng này ngày càng trở thành mục tiêu trong các cuộc tấn công mạng liên quan đến crypto vì nhiều ứng dụng blockchain, ví và nền tảng giao dịch phụ thuộc vào phần mềm được phân phối qua dịch vụ này. Vào tháng 9, CTO của Ledger là Charles Guillemet đã cảnh báo rằng tin tặc đã xâm nhập các gói NPM được sử dụng rộng rãi trong một cuộc tấn công có thể chuyển hướng giao dịch crypto và đánh cắp tài sản.
“Các gói bị ảnh hưởng đã được tải xuống hơn 1 tỷ lần, đồng nghĩa toàn bộ hệ sinh thái JavaScript có thể đang gặp rủi ro,” Guillemet viết trên X vào thời điểm đó.
Các cuộc tấn công gần đây khác cũng sử dụng các gói NPM bị đầu độc liên quan đến bot giao dịch crypto giả mạo và các công cụ blockchain nhằm phát tán mã độc thông qua smart contract Ethereum.
Bản tin Daily Debrief
Bắt đầu mỗi ngày với những tin tức nổi bật nhất hiện tại, cùng các bài viết độc quyền, podcast, video và nhiều nội dung khác.
