Hoạt động gián điệp xuất phát từ Triều Tiên xâm phạm các nhà phát triển qua tiện ích mở rộng của VS Code

Theo báo cáo được công bố trên mạng xã hội, các nhóm liên kết với Triều Tiên đang sử dụng các kỹ thuật xã hội tinh vi để lừa các lập trình viên mở các dự án độc hại của Visual Studio Code. Một khi nhà phát triển mở các dự án này, mã ẩn sẽ tự động chạy, thực hiện các hành động có hại trong nền mà không có sự đồng ý của người dùng.

Cơ chế tấn công: Phục hồi mã và triển khai cửa hậu

Chiến lược tấn công hoạt động thông qua một quy trình rõ ràng. Đầu tiên, mã độc lấy các script JavaScript lưu trữ trên nền tảng Vercel, một hạ tầng phổ biến để lưu trữ ứng dụng web. Sau đó, thiết lập các cửa hậu trong hệ thống của nạn nhân, cho phép kẻ tấn công kiểm soát từ xa máy tính và thực thi các lệnh tùy ý. Mức độ truy cập này đặc biệt nguy hiểm đối với các nhà phát triển, vì nó có thể làm hỏng không chỉ máy cá nhân của họ mà còn các dự án và kho mã mà họ truy cập.

Khoảng trống bảo mật chưa được phát hiện

Điều đáng lo ngại nhất của vụ việc này là thời điểm phát hiện. Kho lưu trữ độc hại được gọi là ‘VSCode-Backdoor’ đã có mặt công khai trên GitHub trong nhiều tháng, có thể truy cập dễ dàng qua tìm kiếm đơn giản. Mặc dù đã bị lộ trong thời gian dài đó, cộng đồng an ninh mạng và công chúng chỉ mới nhận thức được mối đe dọa gần đây. Sự chậm trễ trong việc nhận diện này cho thấy một lỗ hổng nghiêm trọng trong các cơ chế phát hiện và giám sát cộng đồng của các nền tảng chia sẻ mã nguồn.

Ảnh hưởng đối với các nhà phát triển và cộng đồng mã nguồn mở

Hoạt động phối hợp của Triều Tiên đánh dấu một bước ngoặt trong chiến thuật tấn công nhắm vào hệ sinh thái phát triển phần mềm. Khác với các mối đe dọa trước đây nhắm vào các hệ thống cụ thể, chiến dịch này khai thác sự tin tưởng vốn có trong các môi trường phát triển hợp tác. Các nhà phát triển cần áp dụng các thực hành xác minh chặt chẽ hơn trước khi chạy mã từ các nguồn không rõ, trong khi các cộng đồng mã nguồn mở cần củng cố các cơ chế phát hiện các artefact độc hại.