WuKong_top1
Writer
Tháng 9/2025, cộng đồng lập trình toàn cầu chấn động trước hàng loạt vụ tấn công vào chuỗi cung ứng phần mềm, đặc biệt là hệ sinh thái JavaScript và npm, nơi hàng triệu lập trình viên tải gói mã nguồn mỗi ngày. Đây không còn là những sự cố riêng lẻ mà có dấu hiệu của một chiến dịch tấn công quy mô lớn, được tổ chức bài bản để chiếm quyền kiểm soát và phát tán mã độc.
Kẻ tấn công thường nhắm vào hai mục tiêu: tài khoản và hệ thống của lập trình viên (như token, GitHub, CI/CD) và các gói phần mềm được chia sẻ công khai. Nếu kiểm soát được một trong hai, chúng có thể cài mã độc và lan sang nhiều dự án khác. Khi chiếm được cả hai, hậu quả có thể nghiêm trọng hơn từ rò rỉ dữ liệu, mất quyền kiểm soát dự án cho đến mất tiền điện tử của người dùng.
Nhiều chiêu thức đã được ghi nhận: mã độc tự lan truyền, chèn mã vào công cụ tự động trên GitHub, cài script ẩn để lấy khóa truy cập, hay giả mạo thư viện nổi tiếng để đánh lừa người dùng. Đáng lo hơn, có trường hợp mã độc được giấu trong hợp đồng Ethereum, khiến việc phát hiện và truy dấu gần như bất khả thi.
Một số cuộc tấn công còn nhắm trực tiếp vào ví tiền điện tử, âm thầm thay đổi địa chỉ nhận tiền hoặc chỉnh sửa ứng dụng ví trên máy tính, khiến người dùng bị mất tiền mà không hề hay biết.
Các chuyên gia WhiteHat và Bkav cảnh báo xu hướng này sẽ tiếp tục tăng vì tấn công vào chuỗi cung ứng cho phép tin tặc phát tán mã độc cực nhanh. Một số nhóm còn bắt đầu dùng trí tuệ nhân tạo (AI) để tạo mã độc khó bị phát hiện hơn.
Để giảm rủi ro, lập trình viên và doanh nghiệp nên:
Kẻ tấn công thường nhắm vào hai mục tiêu: tài khoản và hệ thống của lập trình viên (như token, GitHub, CI/CD) và các gói phần mềm được chia sẻ công khai. Nếu kiểm soát được một trong hai, chúng có thể cài mã độc và lan sang nhiều dự án khác. Khi chiếm được cả hai, hậu quả có thể nghiêm trọng hơn từ rò rỉ dữ liệu, mất quyền kiểm soát dự án cho đến mất tiền điện tử của người dùng.
Nhiều chiêu thức đã được ghi nhận: mã độc tự lan truyền, chèn mã vào công cụ tự động trên GitHub, cài script ẩn để lấy khóa truy cập, hay giả mạo thư viện nổi tiếng để đánh lừa người dùng. Đáng lo hơn, có trường hợp mã độc được giấu trong hợp đồng Ethereum, khiến việc phát hiện và truy dấu gần như bất khả thi.
Một số cuộc tấn công còn nhắm trực tiếp vào ví tiền điện tử, âm thầm thay đổi địa chỉ nhận tiền hoặc chỉnh sửa ứng dụng ví trên máy tính, khiến người dùng bị mất tiền mà không hề hay biết.
Các chuyên gia WhiteHat và Bkav cảnh báo xu hướng này sẽ tiếp tục tăng vì tấn công vào chuỗi cung ứng cho phép tin tặc phát tán mã độc cực nhanh. Một số nhóm còn bắt đầu dùng trí tuệ nhân tạo (AI) để tạo mã độc khó bị phát hiện hơn.
Để giảm rủi ro, lập trình viên và doanh nghiệp nên:
- Bảo vệ tài khoản và quyền truy cập: thay token nếu nghi ngờ, bật xác thực hai lớp, giới hạn quyền truy cập, và kiểm tra kỹ các workflow tự động.
- Kiểm soát nguồn phần mềm: chỉ tải gói từ nguồn đáng tin cậy, xem kỹ script đi kèm, khóa phiên bản và xác minh tính toàn vẹn của gói.
Theo whitehat.vn
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview