Các nhà nghiên cứu an ninh mạng đã công bố chi tiết về một chiến dịch spear-phishing được mô tả là "duy trì và có mục tiêu", đã phát tán hơn hai chục gói lên kho lưu trữ npm để tạo điều kiện đánh cắp thông tin đăng nhập.
Theo Socket, hoạt động này bao gồm việc tải lên 27 gói npm từ sáu bí danh npm khác nhau, chủ yếu nhắm vào nhân viên kinh doanh và thương mại tại các tổ chức liền kề cơ sở hạ tầng quan trọng ở Hoa Kỳ và các quốc gia Đồng minh.
"Một chiến dịch kéo dài năm tháng đã biến 27 gói npm thành nơi lưu trữ bền vững cho các mồi nhử chạy trên trình duyệt, mô phỏng các cổng chia sẻ tài liệu và đăng nhập Microsoft, nhắm mục tiêu vào 25 tổ chức trong các ngành sản xuất, tự động hóa công nghiệp, nhựa và y tế để đánh cắp thông tin đăng nhập," các nhà nghiên cứu Nicholas Anderson và Kirill Boychenko cho biết.
Các gói npm độc hại
Tên của các gói được liệt kê dưới đây:
- adril7123
- ardril712
- arrdril712
- androidvoues
- assetslush
- axerification
- erification
- erificatsion
- errification
- eruification
- hgfiuythdjfhgff
- homiersla
- houimlogs22
- iuythdjfghgff
- iuythdjfhgff
- iuythdjfhgffdf
- iuythdjfhgffs
- iuythdjfhgffyg
- jwoiesk11
- modules9382
- onedrive-verification
- sarrdril712
- scriptstierium11
- secure-docs-app
- sync365
- ttetrification
- vampuleerl
Thay vì yêu cầu người dùng cài đặt các gói này, mục tiêu cuối cùng của chiến dịch là tái sử dụng các mạng phân phối nội dung (CDNs) của npm và gói làm hạ tầng lưu trữ, sử dụng chúng để cung cấp các mồi nhử HTML và JavaScript phía máy khách giả mạo việc chia sẻ tài liệu an toàn được nhúng trực tiếp vào các trang phishing. Sau đó, nạn nhân được chuyển hướng đến các trang đăng nhập Microsoft với địa chỉ email đã được điền sẵn vào biểu mẫu.
Việc sử dụng CDNs của gói mang lại một số lợi ích, nổi bật nhất là khả năng biến một dịch vụ phân phối hợp pháp thành hạ tầng có khả năng chống chịu sự gỡ bỏ. Ngoài ra, nó giúp kẻ tấn công dễ dàng chuyển sang các bí danh nhà xuất bản và tên gói khác, ngay cả khi các thư viện bị gỡ bỏ.
Các biện pháp chống phân tích
Các gói này đã được phát hiện tích hợp nhiều kiểm tra phía máy khách để gây khó khăn cho các nỗ lực phân tích, bao gồm lọc bot, né tránh sandboxes và yêu cầu nhập liệu bằng chuột hoặc cảm ứng trước khi đưa nạn nhân đến hạ tầng thu thập thông tin đăng nhập do tác nhân đe dọa kiểm soát. Mã JavaScript cũng bị obfuscated hoặc minify nặng để làm cho việc kiểm tra tự động trở nên khó khăn hơn.
Một biện pháp kiểm soát chống phân tích quan trọng khác được tác nhân đe dọa áp dụng liên quan đến việc sử dụng các trường biểu mẫu honeypot được ẩn khỏi tầm nhìn của người dùng thực, nhưng có khả năng sẽ bị các crawlers điền vào. Bước này đóng vai trò là lớp phòng thủ thứ hai, ngăn chặn cuộc tấn công tiến xa hơn.
Socket cho biết các miền được đóng gói trong các gói này trùng lặp với hạ tầng phishing adversary-in-the-middle (AitM) liên quan đến Evilginx, một bộ công cụ phishing mã nguồn mở.
Đây không phải là lần đầu tiên npm được biến thành hạ tầng phishing. Trở lại vào tháng 10 năm 2025, công ty bảo mật chuỗi cung ứng phần mềm đã mô tả một chiến dịch có tên Beamglea, trong đó các tác nhân đe dọa không xác định đã tải lên 175 gói độc hại để tấn công thu thập thông tin đăng nhập. Làn sóng tấn công mới nhất được đánh giá là khác biệt với Beamglea.
"Chiến dịch này tuân theo cùng một kế hoạch chính, nhưng với cơ chế phân phối khác," Socket nói. "Thay vì gửi các script chuyển hướng tối thiểu, các gói này cung cấp một luồng phishing độc lập, thực thi trên trình duyệt dưới dạng một gói HTML và JavaScript nhúng chạy khi được tải trong ngữ cảnh trang."
Hơn nữa, các gói phishing đã được phát hiện mã hóa cứng 25 địa chỉ email liên kết với các cá nhân cụ thể, những người làm việc ở vị trí quản lý tài khoản, bán hàng và đại diện phát triển kinh doanh trong các lĩnh vực sản xuất, tự động hóa công nghiệp, chuỗi cung ứng nhựa và polymer, y tế ở Áo, Bỉ, Canada, Pháp, Đức, Ý, Bồ Đào Nha, Tây Ban Nha, Thụy Điển, Đài Loan, Thổ Nhĩ Kỳ, Vương quốc Anh và Hoa Kỳ.
Hiện tại vẫn chưa rõ làm thế nào kẻ tấn công có được các địa chỉ email này. Nhưng với việc nhiều công ty mục tiêu tập trung tại các triển lãm thương mại quốc tế lớn, chẳng hạn như Interpack và K-Fair, có thể nghi ngờ rằng các tác nhân đe dọa đã lấy thông tin từ các trang web này và kết hợp với việc thu thập thông tin tình báo mở trên web.
"Trong một số trường hợp, các địa điểm mục tiêu khác với trụ sở công ty, điều này phù hợp với việc tác nhân đe dọa tập trung vào nhân viên kinh doanh khu vực, quản lý quốc gia và các nhóm thương mại địa phương hơn là chỉ IT của công ty," công ty cho biết.
Khuyến nghị bảo mật
Để chống lại rủi ro do mối đe dọa này gây ra, điều cần thiết là phải thực thi xác minh dependency nghiêm ngặt, ghi lại các yêu cầu CDN bất thường từ các ngữ cảnh không phải phát triển, thực thi multi-factor authentication (MFA) chống phishing và giám sát các sự kiện đáng ngờ sau xác thực.
Sự gia tăng của mã độc hủy diệt
Sự phát triển này diễn ra khi Socket cho biết họ đã quan sát thấy sự gia tăng đều đặn của malware hủy diệt trên các chỉ mục npm, PyPI, NuGet Gallery và Go module bằng cách sử dụng các kỹ thuật như thực thi trì hoãn và kill switches được điều khiển từ xa để né tránh phát hiện sớm và tìm nạp mã thực thi tại thời điểm chạy bằng các công cụ tiêu chuẩn như wget và curl.
"Thay vì mã hóa đĩa hoặc phá hủy tệp một cách bừa bãi, các gói này có xu hướng hoạt động một cách có chọn lọc," nhà nghiên cứu Kush Pandya cho biết.
"Chúng chỉ xóa những gì quan trọng đối với nhà phát triển: kho lưu trữ Git, thư mục nguồn, tệp cấu hình và kết quả build CI. Chúng thường kết hợp logic này vào các đường dẫn mã chức năng khác và dựa vào các lifecycle hooks tiêu chuẩn để thực thi, nghĩa là malware có thể không bao giờ cần được nhập hoặc gọi rõ ràng bởi chính ứng dụng."
