Quy tắc tập tin tấn công cửa sau

Các nhà nghiên cứu an ninh mạng đã phát hiện ra một vectơ tấn công chuỗi cung ứng mới được gọi là Rules File Backdoor. Cuộc tấn công này xâm phạm các trình soạn thảo mã do AI hỗ trợ như GitHub Copilot và Cursor. Nó cho phép tin tặc đưa mã bị hỏng vào các đề xuất do AI tạo ra, khiến nó trở thành mối đe dọa thầm lặng nhưng có hại.

Cơ chế: Hướng dẫn ẩn trong tệp cấu hình

Kẻ tấn công khai thác vectơ này bằng cách nhúng các hướng dẫn gian lận ẩn trong các tệp cấu hình được trợ lý mã hóa AI sử dụng. Bằng cách tận dụng các ký tự Unicode ẩn và các kỹ thuật trốn tránh tinh vi, tác nhân đe dọa thao túng các mô hình AI để tạo và chèn mã giả mạo, qua đó tránh được các đợt đánh giá bảo mật thông thường.

Rủi ro chuỗi cung ứng thầm lặng và dai dẳng

Điều khiến cuộc tấn công này đặc biệt đáng báo động là khả năng lan truyền mà không bị phát hiện trên nhiều dự án. Khi một tệp quy tắc bị xâm phạm được đưa vào kho lưu trữ, nó sẽ tiếp tục ảnh hưởng đến tất cả các phiên tạo mã tiếp theo, tác động đến các nhà phát triển trên toàn bộ chuỗi cung ứng.

Poisoned Rules: Thao túng AI để tạo ra mã độc hại

Cuộc tấn công nhắm vào các tệp quy tắc, hướng dẫn các tác nhân AI thực thi các phương pháp mã hóa tốt nhất. Bằng cách nhúng các lời nhắc được chế tạo khéo léo vào các tệp này, kẻ tấn công có thể lừa AI tạo mã không an toàn hoặc cửa hậu, sử dụng hiệu quả công cụ AI chống lại người dùng.

Kỹ thuật che giấu: Ẩn các hướng dẫn không an toàn

Tin tặc sử dụng các bộ nối không có độ rộng, các ký tự đánh dấu văn bản hai chiều và các ký tự vô hình khác để che giấu các hướng dẫn có hại. Chúng cũng khai thác khả năng diễn giải ngôn ngữ tự nhiên của AI, đánh lừa mô hình ghi đè các ràng buộc về đạo đức và an toàn để tạo ra mã dễ bị tấn công.

Tiết lộ và Trách nhiệm của Nhà phát triển

Sau khi tiết lộ có trách nhiệm vào đầu năm 2024, cả Cursor và GitHub đều nhấn mạnh rằng người dùng phải xem xét và chấp thuận các đề xuất do AI tạo ra để giảm thiểu rủi ro. Tuy nhiên, điều này đặt gánh nặng bảo mật hoàn toàn lên các nhà phát triển mặc dù bản chất tinh vi của cuộc tấn công.

Vũ khí hóa AI: Trợ lý nhà phát triển trở thành đồng phạm

Cuộc tấn công Backdoor của Rules File biến trợ lý mã hóa AI thành đồng phạm vô tình, có khả năng ảnh hưởng đến hàng triệu người dùng thông qua phần mềm bị xâm phạm. Hơn nữa, mối đe dọa vẫn tồn tại sau khi xâm nhập ban đầu, tồn tại sau khi phân nhánh dự án và phụ thuộc hạ nguồn, khiến nó trở thành rủi ro đáng gờm cho chuỗi cung ứng.

Mối nguy hiểm của cuộc tấn công phần mềm độc hại vào chuỗi cung ứng

Tấn công phần mềm độc hại chuỗi cung ứng là một trong những mối đe dọa an ninh mạng tàn khốc nhất vì nó nhắm vào phần mềm, phần cứng hoặc dịch vụ đáng tin cậy mà doanh nghiệp và cá nhân dựa vào. Thay vì tấn công trực tiếp vào hệ thống, tin tặc xâm nhập vào nhà cung cấp, nhà cung ứng hoặc dịch vụ của bên thứ ba, xâm phạm sản phẩm trước khi chúng đến tay người dùng cuối.

1. Lây nhiễm lan rộng và lén lút : Vì các cuộc tấn công chuỗi cung ứng làm tổn hại phần mềm tại nguồn, mã không an toàn được phân phối cho tất cả người dùng cài đặt hoặc cập nhật phần mềm bị ảnh hưởng. Điều này cho phép tin tặc lây nhiễm hàng triệu thiết bị hoặc mạng cùng lúc, thường là không bị phát hiện ngay lập tức.
2. Khai thác lòng tin và bỏ qua các biện pháp bảo mật : Các tổ chức tin tưởng các bản cập nhật phần mềm và dịch vụ từ các nhà cung cấp nổi tiếng. Khi kẻ tấn công xâm phạm một nhà cung cấp đáng tin cậy, mã độc thường được ký và phân phối dưới dạng bản cập nhật hợp pháp, bỏ qua các lần quét bảo mật, chương trình diệt vi-rút và bảo vệ điểm cuối.
3. Mối đe dọa dai dẳng và khó phát hiện : Vì các cuộc tấn công chuỗi cung ứng nhúng phần mềm độc hại sâu vào phần mềm hợp pháp, chúng có thể không bị phát hiện trong nhiều tháng hoặc thậm chí nhiều năm. Kẻ tấn công có thể đưa vào các cửa hậu, phần mềm gián điệp hoặc các công cụ truy cập từ xa, cho phép gián điệp, đánh cắp dữ liệu hoặc phá hoại trong thời gian dài.
4. Tác động hạ lưu đến khách hàng và đối tác : Một cuộc tấn công chuỗi cung ứng không chỉ ảnh hưởng đến một tổ chức mà còn lan rộng đến các doanh nghiệp và khách hàng được kết nối. Nếu một nhà cung cấp bị xâm phạm phục vụ nhiều công ty, tất cả các công ty đó đều phải chịu rủi ro bảo mật, khiến cuộc tấn công lan rộng hơn nữa.

Các doanh nghiệp bị ảnh hưởng bởi các cuộc tấn công chuỗi cung ứng thường phải đối mặt với tổn thất tài chính đáng kể, tiền phạt theo quy định và các vụ kiện tụng. Ngoài ra, một khi một nhà cung cấp đáng tin cậy bị vi phạm, danh tiếng của họ sẽ bị ảnh hưởng, dẫn đến mất khách hàng và cơ hội kinh doanh.