Chuỗi khai thác Zapocalypse: Cách 5 lỗi chống khuôn mẫu kết hợp thành thảm họa chuỗi cung ứng

Các nhà nghiên cứu đã khai thác điều này bằng cách đọc tệp /proc/self/mem và chạy bốn mẫu regex trên các vùng bộ nhớ có thể đọc được. Họ đã khôi phục thành công các token phiên AWS STS còn hoạt động cho vai trò IAM của Lambda, qua đó vượt qua hoàn toàn lớp sandbox .

Giai đoạn 2: Liệt kê ECR với quyền hạn tối thiểu

Vai trò AWS khôi phục được có tên là allow_nothing_role, nhưng cái tên đó gây hiểu nhầm. Vai trò này được cấp bốn quyền liên quan đến Elastic Container Registry (ECR): ecr:DescribeRepositories, ecr:ListImages, ecr:BatchGetImage, và ecr:GetDownloadUrlForLayer .

Bốn quyền này hóa ra là đủ để kéo (pull) các container image trực tiếp thông qua API của AWS, mà không cần đến token xác thực Docker registry. Nhờ những quyền này, các nhà nghiên cứu đã liệt kê được 1.111 kho lưu trữ production và kéo các container image bằng API tìm nạp từng lớp (layer-fetch) .

Giai đoạn 3: Khôi phục Token NPM từ lịch sử Container Image

Bên trong một trong những container image đã kéo về, các nhà nghiên cứu phát hiện một token dùng để xuất bản lên NPM đã bị rò rỉ vào lịch sử cấu hình của image. Token này đã được truyền vào tiến trình build thông qua lệnh ARG trong Dockerfile, vốn được lưu trữ vĩnh viễn vào trường history[] bất biến của image. Điều này có nghĩa là bất kỳ ai kéo được image này cũng có thể khôi phục token .

Giai đoạn 4: Quyền xuất bản NPM vượt qua xác thực hai yếu tố

Token NPM khôi phục được chứa ba thuộc tính then chốt:

action: write

name: null

bypass_2fa: true

Thiết lập

bypass_2fa: true

Giai đoạn 5: Bàn đạp chuỗi cung ứng tiềm năng và khả năng thực thi mã trên trình duyệt

Gói quan trọng nhất trong chuỗi là zapier-design-system, thứ được tải trong mọi phiên đã xác thực trên zapier.com. Các nhà nghiên cứu đã xác minh đường dẫn tải này thông qua công cụ dành cho nhà phát triển của trình duyệt và dừng lại ở điểm này — họ đã không xuất bản một gói độc hại nào .

Nếu một kẻ tấn công xuất bản một phiên bản đã bị "đầu độc", nó sẽ thực thi JavaScript do kẻ tấn công kiểm soát bên trong nguồn gốc zapier.com đã xác thực ở lần phát hành tiếp theo. Từ vị trí đó, kẻ tấn công có thể tạo Zaps, Tables, và MCP servers, đồng thời điều khiển các tích hợp sẵn có trên nền tảng thay mặt cho người dùng đã xác thực. Các token OAuth và khóa API cho các dịch vụ đã kết nối vẫn nằm ở phía máy chủ và sẽ không bị phơi bày trực tiếp ra trình duyệt, nhưng tác động về mặt vận hành vẫn sẽ là rất nghiêm trọng .

Dòng thời gian phản hồi của Zapier

Token Security đã gửi báo cáo vào ngày 12 tháng 2 năm 2026. Trong vòng bốn ngày, Zapier đã phân loại báo cáo, thu hồi token NPM bị rò rỉ và thắt chặt vai trò AWS cơ sở. Quá trình khắc phục được xác nhận hoàn tất vào ngày 5 tháng 3 năm 2026. Zapier báo cáo không có bằng chứng về việc bị khai thác trong thực tế .

Các nhà nghiên cứu đã nhận được mức tiền thưởng tối đa của chương trình là 3.000 đô la Mỹ, và Zapier cam kết sẽ xem xét lại mức trần tiền thưởng trong đợt đánh giá chương trình tiếp theo .

Một điều đáng lưu ý là tiết lộ nghiên cứu này tách biệt với một cuộc tấn công chuỗi cung ứng thực tế vào tài khoản NPM của Zapier đã xảy ra vào ngày 24 tháng 11 năm 2025, khi sâu Shai Hulud 2.0 xâm phạm tài khoản và lây nhiễm 425 gói .

Bài học lớn hơn: Lỗ hổng kết hợp rơi vào kẽ hở giữa các đội ngũ

Yair Balilti, Trưởng nhóm Nghiên cứu Bảo mật tại Token Security, đã trình bày rõ phát hiện cốt lõi:

"Mọi mắt xích trong chuỗi đều là một khuôn mẫu đã biết. Lỗ hổng nằm ở sự kết hợp, và sự kết hợp chính là thứ rơi vào giữa các đội. Sandbox Lambda, ECR và IAM, token GitLab CI, xuất bản NPM, trình duyệt — mỗi thứ do một nhóm khác nhau sở hữu, và mỗi nhóm có thể nhìn vào phần việc của mình và kết luận một cách hợp lý rằng nó ổn. Rủi ro chỉ xuất hiện khi bạn truy vết một đường dẫn xuyên suốt tất cả chúng."

Điểm mấu chốt là không một đội ngũ đơn lẻ nào sở hữu một lỗ hổng riêng lẻ. Nhóm sandbox Lambda không thấy vấn đề gì với việc "nhặt nhạnh" bộ nhớ vì token lẽ ra đã nằm ngoài phạm vi. Nhóm IAM thấy một vai trò được giới hạn ở các hành động ECR chỉ đọc. Nhóm CI/build truyền token NPM như một tham số ARG khi build. Nhóm NPM quản lý một token có quyền ghi. Nhóm trình duyệt tải một gói design-system. Mỗi quyết định đều hợp lý một cách riêng rẽ, nhưng chuỗi xuyên suốt năm hệ thống lại là một thảm họa .

Điều này chứng tỏ rằng các đánh giá về danh tính và quyền truy cập phải truy vết các đường dẫn tấn công xuyên suốt các ranh giới hệ thống, thay vì chỉ kiểm tra quyền hạn của từng thành phần một cách riêng lẻ. Các tổ chức cần có những cuộc đánh giá bảo mật liên nhóm, xem xét cách các cấu hình tưởng chừng vô hại kết hợp thành những chuỗi tấn công nguy hiểm khi các hệ thống tương tác với nhau .