Sau khi được kích hoạt, mã độc xác định hệ điều hành của nạn nhân và tải về một trong bốn tệp nhị phân từ kho Hugging Face công khai do kẻ tấn công kiểm soát, mang tên Lordplay/system-releases. Theo JFrog Security, phân tích cho thấy cả bốn tệp đều chứa cùng một payload JavaScript, được đóng gói trong các container Node.js khác nhau để tương thích với Windows, macOS và Linux. Cả bốn tệp thực chất là cùng một implant, được triển khai trên nhiều nền tảng khác nhau.
Sau khi triển khai, implant thiết lập cơ chế duy trì trên hệ thống. Trên Windows, nó tạo Scheduled Task và Registry Run Key. Trên macOS, nó sử dụng LaunchAgent. Trên Linux, nó tạo systemd user unit. Tiếp đó, mã độc kết nối về máy chủ điều khiển tại địa chỉ 195[.]201[.]194[.]107 thông qua WebSocket. Từ đây, kẻ tấn công có thể thực thi lệnh từ xa, bao gồm đọc và ghi tệp, thu thập thông tin đăng nhập, ghi lại thao tác bàn phím, giám sát clipboard và triển khai thêm payload.
Điểm đáng chú ý của chiến dịch nằm ở cơ chế exfiltration. Thay vì gửi dữ liệu về máy chủ riêng, implant nén dữ liệu và tải trực tiếp lên các dataset riêng tư trên Hugging Face dưới tài khoản do kẻ tấn công kiểm soát. Cách tiếp cận này biến Hugging Face thành kênh lưu trữ và trung chuyển dữ liệu đánh cắp, đồng thời giúp lưu lượng hòa lẫn với hoạt động hợp pháp của nền tảng.
Luồng rò rỉ dữ liệu qua Hugging Face (Nguồn: JFrog)
Các chuyên gia khuyến cáo tổ chức rà soát hệ thống nếu từng cài đặt gói liên quan và xoay vòng toàn bộ thông tin nhạy cảm, bao gồm API key, SSH key, token npm và mật khẩu cơ sở dữ liệu. Đồng thời, cần gỡ bỏ gói js-logger-pack, vô hiệu hóa script tự động bằng lệnh npm config set ignore-scripts true và loại bỏ các cơ chế duy trì trên hệ thống như Scheduled Task, Registry Run Key, LaunchAgent và systemd unit tùy nền tảng. Các hệ thống chạy phiên bản 1.1.27 được coi là đã bị xâm nhập, cần kiểm tra và thay thế toàn bộ thông tin xác thực.
