MinhSec
Writer
Một trong những cuộc tấn công chuỗi cung ứng nghiêm trọng nhất vừa được phát hiện, mang tên "s1ngularity", đã nhắm vào nền tảng Nx từ phiên bản 20.9.0 đến 21.8.0. Theo phân tích từ GitGuardian, phần mềm độc hại này đã đánh cắp hàng nghìn thông tin đăng nhập của nhà phát triển, bao gồm cả dữ liệu liên quan đến các công cụ trí tuệ nhân tạo.
Cuộc tấn công bắt đầu từ ngày 26/8/2025, khi tin tặc lén chèn mã độc vào Nx một công cụ xây dựng được cộng đồng lập trình viên sử dụng rộng rãi. Loại mã độc này được thiết kế để lấy cắp mã thông báo GitHub, khóa npm, khóa riêng tư SSH và đặc biệt là API key của các công cụ AI phổ biến như Gemini, Claude và Q.
Không chỉ dừng lại ở việc đánh cắp dữ liệu, phần mềm độc hại còn cài thêm đoạn mã có khả năng phá hỏng tệp khởi động trên macOS, khiến nhiều nhà phát triển gặp tình trạng thiết bị đầu cuối bị sập. GitGuardian cho biết có tới 85% hệ thống bị nhiễm chạy macOS, cho thấy cuộc tấn công này tác động nặng nề đến cộng đồng lập trình viên sử dụng máy Mac.
Điều đáng chú ý là một số công cụ AI đã tự động từ chối thực thi lệnh độc hại, cho thấy một lớp “bảo mật tiềm năng” mà chính các nhà phát triển AI cũng không hề dự đoán trước.
Theo dữ liệu từ hệ thống giám sát của GitGuardian, tin tặc đã sử dụng tới 1.346 kho lưu trữ GitHub để lưu trữ dữ liệu đánh cắp, trong đó phát hiện ít nhất 2.349 bí mật riêng biệt. Hơn 1.000 bí mật vẫn còn hiệu lực tại thời điểm phân tích, chủ yếu liên quan đến GitHub và các nền tảng AI.
GitGuardian đã triển khai công cụ miễn phí HasMySecretLeaked, giúp lập trình viên kiểm tra xem khóa bí mật của mình có bị xâm phạm hay không. Các chuyên gia bảo mật khuyến nghị những ai từng sử dụng Nx trong khoảng phiên bản bị ảnh hưởng nên lập tức thu hồi và thay đổi tất cả thông tin đăng nhập.
Sự cố “s1ngularity” là lời nhắc nhở nghiêm khắc rằng trong thời đại AI và phần mềm mã nguồn mở, việc chỉ xóa file bị nhiễm là chưa đủ. Cách duy nhất để bảo mật là thu hồi, luân chuyển và giám sát chặt chẽ toàn bộ khóa bí mật nhằm tránh nguy cơ bị tin tặc khai thác thêm.
hackread.com
Mã độc nhắm vào GitHub, SSH và cả công cụ AI
Cuộc tấn công bắt đầu từ ngày 26/8/2025, khi tin tặc lén chèn mã độc vào Nx một công cụ xây dựng được cộng đồng lập trình viên sử dụng rộng rãi. Loại mã độc này được thiết kế để lấy cắp mã thông báo GitHub, khóa npm, khóa riêng tư SSH và đặc biệt là API key của các công cụ AI phổ biến như Gemini, Claude và Q.
Không chỉ dừng lại ở việc đánh cắp dữ liệu, phần mềm độc hại còn cài thêm đoạn mã có khả năng phá hỏng tệp khởi động trên macOS, khiến nhiều nhà phát triển gặp tình trạng thiết bị đầu cuối bị sập. GitGuardian cho biết có tới 85% hệ thống bị nhiễm chạy macOS, cho thấy cuộc tấn công này tác động nặng nề đến cộng đồng lập trình viên sử dụng máy Mac.
Điều đáng chú ý là một số công cụ AI đã tự động từ chối thực thi lệnh độc hại, cho thấy một lớp “bảo mật tiềm năng” mà chính các nhà phát triển AI cũng không hề dự đoán trước.
Hơn 2.300 bí mật bị lộ và cảnh báo cho cộng đồng
Theo dữ liệu từ hệ thống giám sát của GitGuardian, tin tặc đã sử dụng tới 1.346 kho lưu trữ GitHub để lưu trữ dữ liệu đánh cắp, trong đó phát hiện ít nhất 2.349 bí mật riêng biệt. Hơn 1.000 bí mật vẫn còn hiệu lực tại thời điểm phân tích, chủ yếu liên quan đến GitHub và các nền tảng AI.
GitGuardian đã triển khai công cụ miễn phí HasMySecretLeaked, giúp lập trình viên kiểm tra xem khóa bí mật của mình có bị xâm phạm hay không. Các chuyên gia bảo mật khuyến nghị những ai từng sử dụng Nx trong khoảng phiên bản bị ảnh hưởng nên lập tức thu hồi và thay đổi tất cả thông tin đăng nhập.
Sự cố “s1ngularity” là lời nhắc nhở nghiêm khắc rằng trong thời đại AI và phần mềm mã nguồn mở, việc chỉ xóa file bị nhiễm là chưa đủ. Cách duy nhất để bảo mật là thu hồi, luân chuyển và giám sát chặt chẽ toàn bộ khóa bí mật nhằm tránh nguy cơ bị tin tặc khai thác thêm.
Thousands of Developer Credentials Stolen in macOS “s1ngularity” Attack
Follow us on Bluesky, Twitter (X), Mastodon and Facebook at @Hackread
hackread.com
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview