Làn sóng tấn công chuỗi cung ứng phần mềm (supply chain attack) lại căng thẳng khi TeamPCP - nhóm hacker khét tiếng - thành công thâm nhập Jenkins Marketplace. Mục tiêu lần này là plugin Jenkins AST của Checkmarx, một trong những công cụ quét bảo mật mã nguồn được tin dùng nhất thế giới. Vụ việc diễn ra chỉ vài tuần sau khi cùng nhóm tấn công này gây chấn động với cuộc tấn công KICS, cho thấy chiến thuật "đánh hội đồng" đang được áp dụng có hệ thống.

Kịch bản tấn công tinh vi từ bên trong

Checkmarx đã xác nhận rằng phiên bản plugin Jenkins AST bị sửa đổi độc hại đã được phát tán trực tiếp trên Jenkins Marketplace - kho ứng dụng chính thức mà hàng triệu lập trình viên toàn cầu tin tưởng. Điều đáng lo ngại là plugin độc hại này không bị phát hiện ngay lập tức, tạo cơ hội cho kẻ tấn công thực hiện các hành vi độc hại trong hệ thống CI/CD của các tổ chức.

Theo thông báo khẩn cấp từ Checkmarx cuối tuần qua, các tổ chức cần kiểm tra ngay phiên bản plugin đang sử dụng. "Nếu bạn đang sử dụng Checkmarx Jenkins AST plugin, cần đảm bảo rằng bạn đang dùng phiên bản 2.0.13-829.vc72453fa_1c16 được phát hành vào ngày 17 tháng 12 năm 2024 hoặc các phiên bản trước đó", công ty cảnh báo. Chúng tôi cho rằng việc TeamPCP nhắm vào các công cụ DevSecOps như Jenkins cho thấy chiến lược tấn công đã chuyển từ người dùng cuối sang các nhà phát triển - những người có quyền truy cập sâu vào hạ tầng công nghệ.

Phân tích kỹ thuật: Tại sao Jenkins trở thành mục tiêu béo bở?

Jenkins là nền tảng CI/CD (Continuous Integration/Continuous Deployment) mã nguồn mở phổ biến nhất thế giới với hơn 300,000 cài đặt đang hoạt động. Plugin AST của Checkmarx tích hợp trực tiếp vào quy trình build và deploy, nghĩa là nó có quyền truy cập vào mã nguồn, credentials và thậm chí là môi trường production. Khi plugin bị nhiễm độc, toàn bộ pipeline phát triển phần mềm có thể bị xâm phạm.

Supply chain attack - hay tấn công chuỗi cung ứng - là phương thức tấn công nhắm vào các thành phần phần mềm của bên thứ ba để xâm nhập hệ thống mục tiêu. Thay vì tấn công trực tiếp, hacker "đầu độc" các thư viện, plugin hoặc công cụ mà tổ chức tin tưởng và sử dụng hàng ngày. Theo báo cáo của Sonatype 2024, các cuộc tấn công dạng này đã tăng 742% trong 4 năm qua, với tổng thiệt hại ước tính hàng tỷ USD toàn cầu.

Tác động nghiêm trọng với doanh nghiệp Việt Nam

Theo khảo sát của VietnamWorks Tech 2024, hơn 68% doanh nghiệp công nghệ Việt Nam sử dụng Jenkins trong quy trình phát triển phần mềm. Con số này tương đương khoảng 15,000 công ty có thể bị ảnh hưởng trực tiếp nếu sử dụng plugin AST của Checkmarx. Đặc biệt nghiêm trọng với các ngân hàng số, fintech và công ty outsourcing - những lĩnh vực chiếm tỷ trọng lớn trong ngành CNTT Việt Nam và thường áp dụng các công cụ quét bảo mật tự động.

Chúng tôi đánh giá đây là chuỗi tấn công có chủ đích nhắm vào hệ sinh thái DevSecOps toàn cầu. Việc TeamPCP liên tiếp tấn công KICS và Jenkins AST plugin trong khoảng thời gian ngắn cho thấy chiến lược "tấn công đa mặt trận" nhằm tạo sự hoang mang và buộc các tổ chức phải ứng phó trên nhiều điểm yếu cùng lúc.

Hành động khẩn cấp cho doanh nghiệp Việt Nam

Các tổ chức Việt Nam cần thực hiện ngay các bước sau: Đầu tiên, kiểm tra version Jenkins AST plugin hiện tại thông qua Jenkins Dashboard > Manage Plugins > Installed. Nếu phiên bản mới hơn 2.0.13-829.vc72453fa_1c16, cần downgrade hoặc gỡ bỏ ngay lập tức. Thứ hai, quét toàn bộ build history từ ngày 18/12/2024 để xác định các artifact có thể bị nhiễm độc. Thứ ba, thay đổi tất cả API keys, tokens và credentials được sử dụng trong Jenkins environment trong thời gian plugin nghi ngờ hoạt động.

Về dài hạn, chúng tôi khuyến nghị triển khai Software Bill of Materials (SBOM) - danh sách chi tiết các thành phần phần mềm bên thứ ba để theo dõi và kiểm soát tốt hơn. Đồng thời, thiết lập monitoring system để phát hiện bất thường trong CI/CD pipeline và định kỳ audit các plugin, dependency đang sử dụng. Đặc biệt, các công ty outsourcing cần thông báo khẩn cấp cho khách hàng quốc tế về việc đã kiểm tra và xử lý vấn đề để duy trì uy tín và hợp đồng.