Chiến dịch "Miasma": dịch vụ đám mây Red Hat bị hacker tấn công đánh cắp tài khoản hàng loạt
- 7 giờ trước
- 4 phút đọc
Một chiến dịch tấn công chuỗi cung ứng quy mô lớn vừa bị phanh phui, biến những thư viện mã nguồn mà các nhà phát triển tin tưởng hoàn toàn thành công cụ gián điệp. Chiến dịch mang tên "Miasma: The Spreading Blight" đang trực tiếp đe dọa các môi trường lập trình và hạ tầng đám mây thông qua các gói cài đặt chính thức của Red Hat.
Bản chất tinh vi của chiến dịch "Miasma"
Cuộc tấn công nguy hiểm này được phát hiện bởi các nhà nghiên cứu an ninh mạng từ Aikido và JFrog. Theo các báo cáo, chiến dịch đã tiêm nhiễm thành công vào 32 package (gói phần mềm) và 96 phiên bản thư viện khác nhau, chủ yếu nằm trong phạm vi quản lý (namespace) “@redhat-cloud-services”.
Vụ việc lần này tấn công trực diện vào các gói phần mềm chính thức, hoàn toàn hợp pháp của Red Hat. Các dấu vết điều tra cho thấy mã độc được phát hành thông qua mã token GitHub Actions OIDC. Điều này đồng nghĩa với việc quy trình phát hành phần mềm hoặc hạ tầng tự động hóa (hệ thống CI/CD) của Red Hat đã bị kẻ xấu kiểm soát, khiến mã độc ngang nhiên phát tán từ chính nguồn cung cấp mà giới lập trình luôn tin cậy.
Cơ chế kích hoạt tự động và mục tiêu thu thập thông tin bảo mật
Kẻ tấn công đã khéo léo nhúng mã độc vào đoạn mã tự động chạy trước khi cài đặt (preinstall script) trong tệp cấu hình package.json. Nhờ chiêu trò này, chỉ cần lập trình viên thực hiện lệnh cài đặt thông thường (npm install), mã độc sẽ lập tức được thực thi ngay lập tức mà không cần đợi ứng dụng cài đặt xong. Để vượt qua các công cụ quét an ninh, tệp chứa mã độc (payload) đã được ngụy trang và mã hóa qua nhiều lớp rắc rối.
Sau khi xâm nhập thành công, mã độc sẽ lùng sục khắp môi trường phát triển, hệ thống tự động hóa và hạ tầng đám mây để thu thập các thông tin tối mật bao gồm:
Mã token truy cập GitHub, GitHub Actions OIDC token, các token của hệ sinh thái npm và PyPI.
Khóa truy cập bảo mật của các nền tảng đám mây lớn: AWS, Azure và Google Cloud Platform (GCP).
Mã xác thực tài khoản dịch vụ Kubernetes, Vault token, mã SSH key, thông tin đăng nhập Docker và các tệp cấu hình chứa dữ liệu nhạy cảm như tệp .env.
Kỹ thuật ngụy trang lưu lượng và "nút tự hủy" nguy hiểm
Để chuyển dữ liệu đánh cắp ra ngoài mà không làm dấy lên nghi ngờ, mã độc sử dụng hai kỹ thuật ẩn mình tinh vi:
Mượn danh lưu lượng AI: Mã độc gửi thông tin về địa chỉ [api.anthropic.com/v1/api](https://api.anthropic.com/v1/api). Dù đây không phải là đường dẫn chuẩn xác của hãng AI Anthropic, nhưng tên miền này đủ "hợp pháp" để hòa lẫn vào lưu lượng mạng thông thường của các công ty đang sử dụng công cụ AI, khiến các hệ thống giám sát mạng bỏ qua.
Biến GitHub thành trạm trung chuyển: Kẻ tấn công tự động tạo ra các kho lưu trữ (repository) công khai trực tiếp trên chính tài khoản GitHub của nạn nhân với phần mô tả mang tên chiến dịch "Miasma: The Spreading Blight", rồi đăng tải các tệp JSON chứa thông tin xác thực lên đó. Việc tận dụng hạ tầng hợp pháp này giúp chúng giảm thiểu sự phụ thuộc vào các máy chủ điều khiển riêng vốn dễ bị chặn.
Các biện pháp xử lý và phòng ngừa khẩn cấp
Đối với các tổ chức và nhà phát triển đã cài đặt các gói phần mềm (package) từ hệ sinh thái Red Hat kể từ ngày 1/6/2026, các chuyên gia khuyến cáo cần khẩn cấp thực hiện các bước sau:
Gỡ bỏ gói nhiễm độc: Sử dụng lệnh npm uninstall để loại bỏ toàn bộ các package bị ảnh hưởng, đồng thời tạo lại tệp khóa phiên bản (lockfile) từ nguồn dữ liệu đáng tin cậy.
Ngăn chặn kịch bản chạy tự động: Tạm thời áp dụng lệnh npm ci --ignore-scripts trong các quy trình tự động hóa (CI/CD pipeline) nhằm chặn đứng việc thực thi các đoạn mã preinstall độc hại.
Triệt tiêu điểm bám trụ: Kiểm tra kỹ và xóa bỏ tận gốc các tiến trình chạy ngầm kitty-monitor và gh-token-monitor trước khi tiến hành thu hồi hay đổi mới (rotate) các mã token xác thực.
Bóc tách mã lạ trong tệp cấu hình: Rà soát kỹ các tệp cấu hình hệ thống như .claude/settings.json, .vscode/tasks.json và ~/.config/index.js để phát hiện và gỡ bỏ các đoạn hook bị chèn trái phép.
Cấp mới toàn bộ thông tin bảo mật: Thực hiện đổi mới và cấp lại toàn bộ GitHub token, mã npm token, khóa truy cập đám mây, SSH key cũng như các mật mã khác sau khi đã xác nhận hệ thống hoàn toàn sạch bóng mã độc.
IPSIP Vietnam cung cấp giải pháp bảo mật hàng đầu cho các doanh nghiệp
Khởi nguồn với bề dày hơn 15 năm kinh nghiệm (từ Pháp), hệ sinh thái IPSIP Vietnam được định vị là đối tác chiến lược hàng đầu, thấu hiểu sắc bén bài toán quản trị rủi ro và đánh chặn mã độc tự trị trong kỷ nguyên số.
Hệ thống quản trị và giám sát của IPSIP Việt Nam đã xuất sắc vượt qua các kiểm định khắt khe nhất để đạt chứng nhận tiêu chuẩn an toàn thông tin quốc tế ISO 27001:2022 và SOC 2 Type II. Bằng việc cung cấp các dịch vụ cốt lõi hoạt động không ngừng nghỉ 24/7 như Trung tâm Giám sát An ninh mạng (SOC), Trung tâm Điều hành Mạng lưới (NOC) và đội ngũ IT Support/Helpdesk trực chiến, IPSIP cam kết trực tiếp phản ứng, đánh chặn mọi nỗ lực xâm nhập bất kể ngày đêm. Sự đồng hành của những bộ óc kỹ thuật hàng đầu sẽ giúp doanh nghiệp tháo gỡ hoàn toàn rủi ro pháp lý và giải phóng nguồn lực cho các mục tiêu tăng trưởng.
Nguồn tham khảo
Bình luận