GitHub bị tấn công, một số dự án crypto cũng được hacker “ghé thăm”

GitHub là cái tên mới nhất được hacker ghé thăm, nhiều nền tảng đã bị ảnh hưởng nặng nề, trong đó có cả các dự án crypto.

GitHub bị phần mềm độc hại tấn công, một số dự án crypto cũng được hacker “ghé thăm”

GitHub đã và đang phải đối mặt với một cuộc tấn công phần mềm độc hại trên diện rộng với 35.000 “lần truy cập mã” cùng thời điểm với hàng nghìn ví Solana bị hacker ghé thăm rạng sáng hôm qua.

Sự cố bảo mật này đã được nhà phát triển GitHub Stephen Lucy phát hiện trong khi đang xem xét một dự án mà anh tìm thấy trên Google Search.

“Tôi đang khám phá ra những gì dường như là một cuộc tấn công phần mềm độc hại trên diện rộng.

– Hiện hơn 35.000 kho lưu trữ bị nhiễm mã độc.

– Cho đến nay được tìm thấy trong các dự án bao gồm: tiền mã hóa, golang, python, js, bash, docker, k8s.

– Chúng được thêm vào tập lệnh npm, hình ảnh docker và tài liệu cài đặt pic.twitter.com/rq3CBDw3r9

Cho đến nay, đã có nhiều nền tảng bị ảnh hưởng bởi cuộc tấn công, trong đó có cả dự án crypto. Lỗ hổng bảo mật nhắm mục tiêu vào các hình ảnh docker, cài đặt tài liệu và tập lệnh npm, đây là một cách đóng gói thuận tiện các lệnh shell phổ biến cho một dự án.

Để đánh lừa các nhà phát triển và truy cập vào dữ liệu quan trọng, trước tiên kẻ tấn công tạo một kho lưu trữ giả mạo (một kho chứa tất cả các tệp của dự án và lịch sử sửa đổi của mỗi tệp) và đẩy bản sao của các dự án hợp pháp lên GitHub. Ví dụ như hai hình dưới đây:

Hình ảnh về dự án tiền mã hóa “real”. Nguồn: Github
Hình ảnh về dự án tiền mã hóa “fake”. Nguồn: Github

Nhiều kho lưu trữ nhân bản này được đẩy ra dưới dạng “yêu cầu kéo/pull requests”. Yêu cầu này cho phép các nhà phát triển thông báo đến những người khác về những thay đổi mà họ đã đẩy lên một chi nhánh trong kho lưu trữ trên GitHub.

Một khi nhà phát triển trở thành con mồi của cuộc tấn công phần mềm độc hại, toàn bộ biến môi trường (ENV) của tập lệnh, ứng dụng hoặc máy tính xách tay (ứng dụng điện tử), sẽ được gửi đến máy chủ của kẻ tấn công. ENV bao gồm khóa bảo mật, khóa truy cập AWS, khóa crypto…

Nhà phát triển đã báo cáo vấn đề với GitHub và khuyên các nhà phát triển nên ký GPG vào các bản sửa đổi được thực hiện cho kho lưu trữ. Khóa GPG thêm một lớp bảo mật bổ sung cho tài khoản GitHub và các dự án phần mềm bằng cách cung cấp cách xác minh tất cả các bản sửa đổi đến từ một nguồn đáng tin cậy.

Chỉ vừa bước qua tháng mới vài ngày, đã xuất hiện liên tiếp nhiều sự cố bảo mật “gián” lên ngành crypto. Đáng chú ý là vụ việc cầu nối cross-chain Nomad bị hacker rút sạch tiền vào ngày 02/08, để lại muôn vàn đau thương cho người dùng và kéo nhiều nền tảng liên đới theo. Chưa kịp phục hồi, thị trường sáng nay đã rúng động bởi tin tức mạng lưới Solana gặp lỗi hổng bảo mật lớn, song dự án vẫn chưa phát hiện được nguồn gốc vụ hack mà chỉ mới đưa ra nguyên nhân sơ bộ sau nhiều giờ đồng hồ điều tra vụ việc.

Coin68 tổng hợp