1. Phòng vệ dựa trên thông tin đe dọa trong hệ thống công nghệ vận hành (OT) 

1.1. Bối cảnh hiện đại 

• Các mạng tội phạm mạng đã mô hình hóa hoạt động như doanh nghiệp. 

• Crime-as-a-Service (CaaS) và Reconnaissance-as-a-Service (RaaS) làm gia tăng tốc độ và độ tinh vi của các chiến dịch tấn công mạng. 

• AI thúc đẩy khả năng tự động hóa, tối ưu hóa việc tấn công vào hệ thống công nghệ vận hành (OT). 

1.2. Những thách thức trong hệ thống OT 

• Hệ thống OT vận hành thiết bị vật lý, đòi hỏi tính liên tục, độ chính xác cao. 

• Các hệ thống OT thường sử dụng phần mềm lỗi thời, không được vá lỗi định kỳ. 

• Sự hội nhập IT-OT làm gia tăng nguy cơ tấn công chuỗi cung ứng và phá hoại vật lý. 

1.3. Vai trò của AI trong các chiến dịch tấn công OT 

• AI hỗ trợ lập kế hoạch tấn công thông qua phân tích tự động các hệ thống ICS/SCADA. 

• Kỹ thuật fuzzing AI-driven giúp xác định lỗ hổng mới nhanh chóng hơn. 

• AI cũng được dùng trong giai đoạn hậu tấn công để tự động hóa việc di chuyển trong mạng nạn nhân (lateral movement). 

1.4. Chiến lược phòng vệ đề xuất 

• Xây dựng năng lực Threat-Informed Defense: Phân tích dữ liệu đe dọa thực chiến, liên tục cập nhật Tactics, Techniques and Procedures (TTPs) của đối phương. 

• Tăng cường tự động hóa an ninh: Triển khai hệ thống SOAR (Security Orchestration, Automation, and Response) để tự động hóa phát hiện và phản ứng sự cố. 

• Liên kết chặt chẽ giữa IT-OT: Tạo ra quy trình vận hành an toàn chung (Integrated Cybersecurity Framework). 

2. Các gói NPM độc hại nhắm vào người dùng PayPal 

2.1. Tổng quan chiến dịch 

• Nhóm nghiên cứu Fortinet phát hiện các gói NPM giả mạo OAuth2 PayPal. 

• Mục tiêu: Đánh cắp thông tin đăng nhập và tài khoản PayPal từ các nhà phát triển phần mềm. 

2.2. Cơ chế tấn công 

• Preinstall Hook: Mã độc được cài đặt và thực thi ngay trong quá trình cài đặt npm. 

• Exfiltration: Thu thập thông tin nhạy cảm và gửi dữ liệu ra ngoài qua các kênh mã hóa HTTPS. 

• Persistence: Một số mẫu mã độc còn tạo cronjob để duy trì quyền truy cập lâu dài. 

Hình minh họa: 

2.3. Các gói npm độc hại đã phát hiện 

• oauth2-paypal 

• paypal-oauth 

• paypal-node-sdk 

• paypalsdk-node 

• nodejs-paypal-auth 

2.4. Phân tích sâu mã độc 

• Obfuscation: Kỹ thuật làm rối mã nguồn thông qua encode base64 nhiều lớp. 

• Payload: Mã bash độc hại thực hiện việc quét hệ thống, thu thập file .env chứa thông tin cấu hình nhạy cảm. 

• C2 Communication: Sử dụng domain ngụy trang qua dịch vụ cloud hosting như Heroku, Netlify. 

2.5. Các khuyến nghị phòng thủ 

• Kiểm tra gói phụ thuộc định kỳ: Sử dụng npm audit và FortiDevSec. 

• Chỉ cài đặt gói từ nhà phát triển uy tín: Luôn kiểm tra mã nguồn mở hoặc sử dụng dịch vụ mirror đáng tin cậy. 

• Giám sát hành vi cài đặt: Thiết lập sandbox phân tích tự động đối với các gói npm mới. 

IOCs 

File	Hash (sha256)	Detection
bankingbundleserv_1.20.0	796deae716a6d66b49a99d00e541056babe34fd2fcbcea0380491de4b792afba	Bash/TommyBoy.A!tr
buttonfactoryserv-paypal_3.50.0	18e45358462363996688ceabfc098e17f855d73842f460b34c683e58c728149f	Bash/TommyBoy.A!tr
buttonfactoryserv-paypal_3.99.0	88bd580aa51129e4e5fa69e148131874c862015e7c51d59497e11f22db2d72c6	Bash/TommyBoy.A!tr
tommyboytesting_1.0.1	23664decf3c2f28a3f552dc98d90017926617969713ccccdc9f5fd3178d76dbf	Bash/TommyBoy.A!tr
tommyboytesting_1.0.2	ba63fbf6f7bab000bc1b1bf92319415328cea238872450adbaac6a6069132779	Bash/TommyBoy.A!tr
tommyboytesting_1.0.5	f359b687fb9e1a4c27fdf5174380abc9877f940ef6a6fd4d38e9ef40bb778107	Bash/TommyBoy.A!tr
tommyboytesting_1.0.6	815ebfc4fb5bddf1f9ca1b12ae2a1b0e37736a93ea9babe858747096ad9ce671	Bash/TommyBoy.A!tr
tommyboytesting_1.0.7	d21ae84e104a305b5aebee8e6fbb4837976ef26935dac90372637f913ef58154	Bash/TommyBoy.A!tr
tommyboytesting_1.0.8	0c006540abcb768cad80a1a8ced926fa58f10cf9eb0be16c4185850df83bff82	Bash/TommyBoy.A!tr
tommyboytesting_1.0.9	847e684a228292dc905205d7353ed9458e10129105fe3b387c4e9374d6afd783	Bash/TommyBoy.A!tr
tommyboytesting_1.0.10	ed6a350c4b1baa6f098293c328d0a62d35aafb4ab62b93e6f3a611f06be9aa29	Bash/TommyBoy.A!tr
tommyboytesting_1.0.11	123480357ab54d2c2067640105b5683445777ae1d20fd52551a5df9327692103	Bash/TommyBoy.A!tr
tommyboytesting_1.0.12	3710742057e470e8882a84412721ed19652e3f13977af21a937bad27d75b6f96	Bash/TommyBoy.A!tr
compliancereadserv-paypal_2.1.0	dd1a177126d48072381db98af74c964100c8ef2e43286f3a31114461251a164c	Bash/TommyBoy.A!tr
oauth2-paypal_0.6.0	0d8c5bb69c567e3949cc6e087610d79c886d9140d0eda88cc92d3ec63fb7a3b9	Bash/TommyBoy.A!tr
oauth2-paypal_1.6.0	b6bc001bc9b4171a27fb2a485cb3e3d8f23bc1ee6b4a03bbcfbba63b7d208477	Bash/TommyBoy.A!tr
oauth2-paypal_2.6.0	2c7bf841a659fa1d8105d26f6664ebc3a78b99e0c071eb7f529503346c40f778	Bash/TommyBoy.A!tr
oauth2-paypal_4.8.0	cbbe1d5a7d4a721c61b9c3b8b6a8e5d65508f02c70e708698d8165d92e154383	Bash/TommyBoy.A!tr
oauth2-paypal_7.5.0	25034c2542757ac93cb6008479a5bfc594f9e92f66249f6fb862447a18847ba7	Bash/TommyBoy.A!tr
oauth2-paypal_10.0.0	148d3552db2acf469c84e26889336f06167c6cf455248e08d703282bc0556fb8	Bash/TommyBoy.A!tr
oauth2-paypal_699.0.0	7186674c208242b8e6fdf7b0f4e7539218590618fee517aa264e8446247d3440	Bash/TommyBoy.A!tr
Paymentapiplatformservice-paypal_1.20.0	7a48db17a02e94c97a329cc1a578777d8b4fb74221bdb22202369d6590917fd0	Bash/TommyBoy.A!tr
Userbridge-paypal_1.20.0	7a48db17a02e94c97a329cc1a578777d8b4fb74221bdb22202369d6590917fd0	Bash/TommyBoy.A!tr
userrelationship-paypal_1.20.0	ca7dc2b0856f89e71ce9da6f179b34c8879456b5dffda0b5bd3f0fd73bab1c50	Bash/TommyBoy.A!tr

Hiện tại Tech Horizon là nhà phân phối chính thức của Fortinet tại thị trường Việt Nam.
Quý đơn vị có nhu cầu vui lòng liên hệ với chúng tôi để được hỗ trợ tư vấn và lắp đặt các thiết bị với chi phí đầu tư cạnh tranh, giải pháp đa dạng, hỗ trợ kỹ thuật tận tình.

————————————————————————-

CÔNG TY CP TMDV CÔNG NGHỆ CHÂN TRỜI (TECH HORIZON CORP) 

Trụ sở: Số 22, đường số 9, KDC Trung Sơn, Bình Hưng, Bình Chánh, TP.HCM
VP Hà Nội: Tầng 4, Sport Hotel, Làng Sinh viên Hacinco, Thanh Xuân, Hà Nội 
Website: https://techhorizonvn.com
Email: info@techhorizonvn.com
Điện thoại: 028 5431 6046 hoặc 024 6286 2118
Fanpage: Tech Horizon Việt Nam