Mã QR hiện nay rất phổ biến vì đây là cách dễ dàng để phân phối nội dung tiếp thị hoặc hướng người dùng đến các trang web và ứng dụng.

Chúng cũng trở thành nơi ẩn náu của mã độc.

Một nhóm nghiên cứu mối đe dọa tại công ty an ninh mạng Socket đã phát hiện ra cái mà họ gọi là "cơ chế cửa hậu tinh vi", khi được tích hợp vào ứng dụng hoặc trang web của doanh nghiệp, có thể đánh cắp mật khẩu được lưu trữ trong cookie của khách truy cập thông qua mã được nhúng trong mã QR.

Gói độc hại, fezbox , được ngụy trang dưới dạng một thư viện tiện ích và có "nhiều lớp che giấu" bao gồm "việc sử dụng mã QR một cách sáng tạo, bí mật". Bí mật liên quan đến việc nhúng dữ liệu bí mật vào một phương tiện che giấu để không bị phát hiện.

"Thuật ẩn mã là phương pháp che giấu một tập tin bí mật ở nơi dễ thấy, một việc mà mã QR rất hữu ích", Olivia Brown, nhà nghiên cứu của Socket, viết . "Việc sử dụng mã QR để che giấu thêm thông tin là một bước đi sáng tạo của kẻ tấn công."

Ẩn bên trong mã có vẻ vô nghĩa

Gói này khai thác npm, trình quản lý gói phổ biến cho JavaScript, và có ba lớp mã hóa: một chuỗi đảo ngược, một mã QR và một tải trọng ẩn. Cơ chế phân phối phần mềm độc hại tinh vi này thu thập tên người dùng và mật khẩu từ cookie của trình duyệt, sử dụng mã ẩn trong mã QR nhúng, đặc biệt dày đặc dữ liệu và khó đọc.

Fezbox tự nhận là một thư viện tiện ích JavaScript/TypeScript gồm "các hàm trợ giúp phổ biến", được tổ chức thành các mô-đun tính năng để người dùng có thể lựa chọn. Tệp README của nó, được viết bằng tiếng Trung, bao gồm các cụm từ "kiểu TypeScript", "hiệu suất cao" và "kiểm tra", đồng thời mô tả một mô-đun mã QR có thể tạo và phân tích mã và tự động tải các thành phần chương trình cần thiết.

Tuy nhiên, tài liệu này không đề cập đến việc chỉ cần nhập thư viện sẽ khởi động một quy trình phụ trợ để truy xuất và chạy mã ẩn trong hình ảnh mã QR từ xa.

Mã được thu nhỏ (nén) và ẩn trong các khối lệnh lớn hơn với vẻ ngoài "không hoạt động" (no-op) vô hại, cho phép nó vượt qua các kiểm tra bảo mật. Một điều kiện cụ thể trong mã sẽ kiểm tra xem ứng dụng có đang chạy trong môi trường phát triển hay không; nếu có, "mã sẽ không làm gì cả", Brown giải thích, đồng thời lưu ý rằng đây là một chiến thuật ẩn danh điển hình.

Cô viết: "Kẻ đe dọa không muốn mạo hiểm bị phát hiện trong môi trường ảo hoặc bất kỳ môi trường nào không phải môi trường sản xuất, vì vậy chúng thường thêm các biện pháp bảo vệ xung quanh thời điểm và cách thức khai thác".

Sau 120 giây trì hoãn, gói tin sẽ tải xuống và thực thi mã từ hình ảnh QR.

Mã đó đọc một cookie từ "document.cookie", lấy tên người dùng và mật khẩu từ đó, nếu có, sau đó đảo ngược chuỗi (ví dụ "password" thành "drowssap"). Brown lưu ý rằng đảo ngược là một "thủ thuật ẩn chống phân tích cổ điển", vì nó có thể vượt qua các công cụ phân tích tìm kiếm URL, nhưng không nhất thiết phải tìm phiên bản ngược của chúng.

Nếu cookie chứa cả tên người dùng và mật khẩu, gói sẽ trích xuất thông tin đó thông qua lệnh HTTPS POST; nếu không, nó sẽ "không làm gì cả và thoát ra một cách lặng lẽ", Brown giải thích.

Mặc dù các chức năng tiện ích chính có vẻ hợp pháp, nhưng mẫu mã bị che giấu này "đại diện cho một mối đe dọa bảo mật nghiêm trọng, cho phép thực thi mã từ xa với các đặc điểm ẩn", Brown viết. Tuy nhiên, bà lưu ý rằng hầu hết các ứng dụng không còn lưu trữ mật khẩu trong cookie, vì vậy rất khó để xác định mức độ thành công của phần mềm độc hại.

Một 'sự leo thang đáng chú ý'

Gói này đã bị xóa khỏi GitHub và được liệt kê là độc hại. Tuy nhiên, nó cho thấy việc khai thác mã QR và tệp âm thanh, video đang ngày càng tinh vi hơn bởi các tác nhân đe dọa. Bằng cách ẩn mã thực thi bên trong mã QR, kẻ tấn công đang lợi dụng sự tin tưởng của nhà phát triển vào các công cụ phân tích cú pháp QR.

“Chúng tôi đã phổ biến mã QR trong đại dịch và chúng tôi không thể nhốt thần đèn đó trở lại trong chai được nữa”, David Shipley của Beauceron Security cho biết . “Những kẻ tấn công đang trở nên tinh vi hơn với những cuộc tấn công mới nhất này và không có dấu hiệu nào cho thấy chúng sẽ sớm biến mất.”

Đây là một "sự leo thang đáng chú ý", ông nói, đồng thời kêu gọi các nhà phát triển lưu ý rằng các tác nhân đe dọa cũng đang tìm cách nhắm vào những bí mật quý giá của họ. Mặc dù việc lừa đảo người dùng thông thường từ lâu đã dễ dàng, nhưng khi tội phạm có thể lừa đảo các nhà phát triển, "chúng sẽ không bao giờ phải đói thông tin đăng nhập nữa".

Shipley khuyên rằng: “Đối với các nhóm bảo mật và nhà phát triển, điều quan trọng ở đây là văn hóa bảo mật dạy cho các lập trình viên phải cẩn thận và đảm bảo luôn có sự tham gia của con người trong quá trình đánh giá”.