Liệu bạn có thể tin tưởng vào một plugin "chính thức" từ Jenkins Marketplace? Cuối tuần qua, Checkmarx - công ty bảo mật ứng dụng hàng đầu thế giới - phải khẩn cấp cảnh báo về việc phiên bản giả mạo plugin Jenkins Application Security Testing (AST) của họ đã xuất hiện trên kho chính thức của Jenkins. Điều đáng lo ngại nhất: plugin độc hại này hoạt động như một infostealer (phần mềm đánh cắp thông tin), có khả năng thu thập mã nguồn, thông tin đăng nhập và dữ liệu nhạy cảm từ hàng nghìn máy chủ phát triển phần mềm trên toàn cầu. Đây không chỉ là một lỗ hổng bảo mật thông thường mà còn là cuộc tấn công supply chain (chuỗi cung ứng phần mềm) có thể gây ra thiệt hại khôn lường.

Kịch bản tấn công tinh vi như phim hành động

Jenkins là nền tảng tự động hóa phát triển phần mềm được sử dụng bởi hàng triệu lập trình viên toàn cầu. Plugin AST của Checkmarx thường được tích hợp để quét lỗ hổng bảo mật tự động trong quá trình CI/CD (Continuous Integration/Continuous Deployment - tích hợp và triển khai liên tục). Kẻ tấn công đã lợi dụng sự tin tưởng này bằng cách tạo ra phiên bản giả mạo có giao diện và chức năng gần như giống hệt bản gốc.

Theo phân tích của chúng tôi, đây là một cuộc tấn công được chuẩn bị kỹ lưỡng. Thay vì tấn công trực tiếp vào từng mục tiêu, hacker đã chọn cách "đầu độc" nguồn cung cấp phần mềm - một chiến thuật ngày càng phổ biến nhưng vô cùng nguy hiểm. Khi các nhà phát triển tải xuống plugin từ kho chính thức, họ hoàn toàn tin tưởng rằng mình đang cài đặt phần mềm an toàn.

Công nghệ đánh cắp thông tin "thế hệ mới"

Plugin độc hại này không phải là malware (mã độc) thông thường. Nó được thiết kế như một infostealer chuyên nghiệp, có khả năng hoạt động âm thầm trong môi trường Jenkins mà không gây ra cảnh báo bảo mật. Khi được cài đặt, plugin sẽ có quyền truy cập vào toàn bộ workspace (không gian làm việc) của dự án, bao gồm mã nguồn, cấu hình deployment, thông tin database và các credential quan trọng.

Điều đáng báo động là plugin này có thể truy cập vào Jenkins credentials store - nơi lưu trữ tất cả thông tin đăng nhập quan trọng như API key, password database, token của các dịch vụ cloud. Chúng tôi đánh giá đây là mối đe dọa cực kỳ nghiêm trọng vì một khi bị xâm nhập, toàn bộ hệ thống phát triển và triển khai ứng dụng của doanh nghiệp sẽ bị lộ hoàn toàn.

Sóng thần tấn công supply chain đang gia tăng

Vụ việc này không phải là trường hợp đơn lẻ. Năm 2024 chứng kiến sự gia tăng đáng báo động của các cuộc tấn công supply chain, từ vụ xz-utils hồi đầu năm đến hàng loạt package độc hại trên npm và PyPI. Theo thống kê của Sonatype, số lượng package độc hại được phát hiện trên các kho phần mềm công cộng đã tăng 315% so với cùng kỳ năm ngoái.

Tại Việt Nam, mặc dù chưa có thống kê cụ thể về số doanh nghiệp bị ảnh hưởng, nhưng với việc ngày càng nhiều công ty công nghệ trong nước sử dụng Jenkins cho quy trình DevOps, rủi ro là hoàn toàn có thật. Cục An toàn thông tin (Bộ TT&TT) từng cảnh báo về xu hướng này trong báo cáo an ninh mạng quý III/2024, khi các cuộc tấn công vào chuỗi cung ứng phần mềm đã tăng 200% tại khu vực Đông Nam Á.

Hướng dẫn ứng phó khẩn cấp cho doanh nghiệp Việt

Đầu tiên, các doanh nghiệp cần ngay lập tức kiểm tra danh sách plugin Jenkins đã cài đặt. Truy cập Jenkins dashboard, vào phần "Manage Jenkins" > "Manage Plugins" > "Installed" và tìm kiếm "Checkmarx AST". Nếu phát hiện plugin này, hãy gỡ cài đặt ngay lập tức và quét toàn bộ hệ thống bằng antivirus enterprise. Tiếp theo, thay đổi tất cả credentials được lưu trữ trong Jenkins, bao gồm API key, database password và các token truy cập dịch vụ cloud.

Chúng tôi khuyến nghị các CTO và DevOps team nên thiết lập quy trình whitelist (danh sách cho phép) cho việc cài đặt plugin Jenkins thay vì cho phép tự do tải từ marketplace. Đồng thời, triển khai giải pháp SIEM (Security Information and Event Management) để giám sát các hoạt động bất thường trong môi trường CI/CD. Cuối cùng, định kỳ audit (kiểm toán) toàn bộ dependency và third-party component trong dự án ít nhất mỗi tháng một lần.