Tội phạm mạng đã lợi dụng smart contract trên Ethereum để ẩn hướng dẫn độc hại, rồi phân phối phần mềm độc hại qua các gói NPM như “colortoolsv2” và “mimelib2”.
Cuộc tấn công kết hợp kỹ thuật kỹ thuật (smart contract chứa URL tải xuống giai đoạn hai) và social hóa (kho lưu trữ GitHub giả mạo) nhằm né quét bảo mật truyền thống và tăng độ tin cậy của mã độc.
- Smart contract được dùng làm kho lưu trữ URL độc hại, cho phép tải giai đoạn hai khi gói NPM được cài.
- Hai gói bị phát hiện là colortoolsv2 và mimelib2, phát hành tháng 7, truy vấn hợp đồng để lấy địa chỉ tải.
- Kỹ thuật kết hợp với repo GitHub giả mạo, commit dựng sẵn và tài liệu chuyên nghiệp để lừa nạn nhân.
Kỹ thuật tấn công tổng quan
Tấn công sử dụng smart contract Ethereum để lưu và trả về địa chỉ tải giai đoạn tiếp theo, giúp phần mềm độc hại né các công cụ quét tĩnh.
Gói NPM chứa mã gọi đến hợp đồng thông minh; hợp đồng trả về URL tải phần mềm độc hại giai đoạn hai chỉ khi điều kiện nhất định thỏa. Cách làm này tách nội dung độc hại khỏi mã nguồn công khai, khó bị phát hiện bằng quét ký sinh truyền thống.
Phân phối qua NPM: cơ chế và ví dụ
Các gói colortoolsv2 và mimelib2, phát hành vào tháng 7, được thiết kế để truy vấn hợp đồng thông minh và nhận địa chỉ tải xuống cho mã độc giai đoạn hai.
Sau khi cài đặt gói, mã trong gói thực hiện truy vấn blockchain, lấy URL từ hợp đồng rồi tải và chạy payload. Bởi payload không có trong kho NPM ban đầu, việc quét tĩnh trên kho khó phát hiện mối nguy này.
Yếu tố social và tổ chức kho lưu trữ giả mạo
Kẻ tấn công dựng một repo GitHub giả mạo bot giao dịch tiền điện tử, tạo commit giả, duy trì tài khoản và cung cấp tài liệu chuyên nghiệp để tạo uy tín.
Mục tiêu là thuyết phục nhà phát triển hoặc người dùng tải và sử dụng gói, khiến hành vi truy vấn hợp đồng để lấy payload trở nên có vẻ hợp lệ. Chiến thuật này kết hợp kỹ thuật và social để tăng tỉ lệ thành công.
Rủi ro và dấu hiệu nhận biết
Rủi ro bao gồm lây nhiễm phần mềm độc hại giai đoạn hai, rò rỉ khóa, hoặc chiếm quyền máy phát triển/CI. Dấu hiệu cảnh báo: repo mới nhưng có lịch sử commit giả, gói gọi API/contract bất thường.
Kiểm tra chuỗi cung ứng: rà soát lịch sử commit, xác minh tác giả, audit mã runtime, và theo dõi hành vi mạng của gói khi cài đặt. Lưu ý các gói truy vấn blockchain để lấy URL động.
Khuyến nghị phòng ngừa
Thực hiện kiểm tra nguồn gốc gói, khóa signed packages, dùng công cụ phân tích hành vi khi cài, và giới hạn quyền thực thi cho gói bên thứ 3.
Áp dụng quy trình review nghiêm ngặt: xác minh tác giả, audit mã trước khi đưa vào môi trường sản xuất, sử dụng sandbox khi thử nghiệm và bật cảnh báo cho hành vi tải xuống mạng bất thường.
Gói NPM colortoolsv2, mimelib2 có còn hoạt động không?
Khó khẳng định trạng thái hiện tại; nếu nghi ngờ, không cài và kiểm tra trực tiếp trên kho chính thức, audit mã nguồn và theo dõi thông báo từ nhóm bảo mật.
Làm sao phát hiện nếu gói NPM truy vấn smart contract để lấy payload?
Kiểm tra mã nguồn gói tìm các calls đến RPC/HTTP của node Ethereum, tìm logic giải mã URL từ hợp đồng và giám sát kết nối mạng khi cài đặt trong môi trường sandbox.
Nên làm gì nếu phát hiện package nghi ngờ trong dự án?
Ngừng sử dụng ngay, cách ly môi trường chứa, audit toàn bộ phụ thuộc, thay thế bằng thư viện đáng tin cậy và thông báo cho cộng đồng hoặc nhóm bảo mật của nền tảng.
