Các nhà nghiên cứu bảo mật mới đây đã phát hiện bốn gói npm độc hại được thiết kế để đánh cắp thông tin ví tiền mã hóa, chủ yếu nhắm vào các nhà phát triển Ethereum. Các gói này giả danh là công cụ hỗ trợ Flashbots - một nền tảng uy tín giúp chống lại các cuộc tấn công MEV (Maximal Extractable Value) trên blockchain Ethereum.
Theo phân tích của Socket, một công ty chuyên về bảo mật chuỗi cung ứng phần mềm, các gói này được tải lên bởi người dùng có tên “flashbotts”, lần đầu vào tháng 9/2023 và gần nhất là ngày 19/8/2025. Mặc dù bị phát hiện là mã độc, các gói này vẫn đang tồn tại và có thể tải về từ npm.
Bốn gói npm bị phát hiện gồm:
Điểm đáng chú ý là mã độc được ẩn rất kỹ trong các gói tiện ích tưởng như vô hại, hoạt động chỉ khi bị gọi trong môi trường sản xuất. Một số gói như sdk-ethers chỉ gửi mnemonic seed về Telegram khi hàm độc bị gọi trực tiếp (kỹ thuật nhằm tránh bị phát hiện khi quét tự động).
Ngoài ra, các thư viện flashbot-sdk-eth và gram-utilz cũng được thiết kế để trộm khoá riêng tư và gửi dữ liệu nhạy cảm về Telegram của kẻ tấn công. Các chuỗi mnemonic seed (chìa khóa chính của ví tiền mã hóa) nếu bị đánh cắp, sẽ cho phép kẻ tấn công truy cập toàn bộ tài sản của nạn nhân.
Điều đáng báo động là trong mã nguồn có xuất hiện các chú thích tiếng Việt, cho thấy khả năng nhóm đứng sau đến từ cộng đồng nói tiếng Việt, mặc dù chưa có bằng chứng cụ thể về quốc tịch hay tổ chức.
Theo các chuyên gia, các gói mạo danh Flashbots rất dễ được các lập trình viên Web3 tin tưởng và sử dụng, đặc biệt là những người điều hành bot giao dịch, ví nóng hoặc các hệ thống tự động hóa trong DeFi. Chỉ một khóa riêng bị rò rỉ là đủ để gây ra thiệt hại tức thì và không thể đảo ngược.
Các chuyên gia bảo mật khuyến cáo cộng đồng nhà phát triển nên:
Khi mọi cú click và từng dòng code đều có thể trở thành điểm yếu, việc tỉnh táo và kiểm chứng là lớp bảo mật đầu tiên mỗi nhà phát triển cần tự trang bị cho mình.
Theo phân tích của Socket, một công ty chuyên về bảo mật chuỗi cung ứng phần mềm, các gói này được tải lên bởi người dùng có tên “flashbotts”, lần đầu vào tháng 9/2023 và gần nhất là ngày 19/8/2025. Mặc dù bị phát hiện là mã độc, các gói này vẫn đang tồn tại và có thể tải về từ npm.
Bốn gói npm bị phát hiện gồm:
- @flashbotts/ethers-provider-bundle (52 lượt tải)
- flashbot-sdk-eth (467 lượt tải)
- sdk-ethers (90 lượt tải)
- gram-utilz (83 lượt tải)
Ngoài ra, các thư viện flashbot-sdk-eth và gram-utilz cũng được thiết kế để trộm khoá riêng tư và gửi dữ liệu nhạy cảm về Telegram của kẻ tấn công. Các chuỗi mnemonic seed (chìa khóa chính của ví tiền mã hóa) nếu bị đánh cắp, sẽ cho phép kẻ tấn công truy cập toàn bộ tài sản của nạn nhân.
Điều đáng báo động là trong mã nguồn có xuất hiện các chú thích tiếng Việt, cho thấy khả năng nhóm đứng sau đến từ cộng đồng nói tiếng Việt, mặc dù chưa có bằng chứng cụ thể về quốc tịch hay tổ chức.
Theo các chuyên gia, các gói mạo danh Flashbots rất dễ được các lập trình viên Web3 tin tưởng và sử dụng, đặc biệt là những người điều hành bot giao dịch, ví nóng hoặc các hệ thống tự động hóa trong DeFi. Chỉ một khóa riêng bị rò rỉ là đủ để gây ra thiệt hại tức thì và không thể đảo ngược.
Các chuyên gia bảo mật khuyến cáo cộng đồng nhà phát triển nên:
- Kiểm tra kỹ tên và nguồn gốc của các gói npm trước khi sử dụng.
- Không lưu trữ seed phrase hoặc khóa riêng trong mã nguồn hoặc biến môi trường.
- Thường xuyên quét mã, sử dụng các công cụ kiểm tra chuỗi cung ứng như Socket, npm audit.
- Gỡ bỏ ngay lập tức các gói khả nghi và đổi toàn bộ thông tin bảo mật nếu nghi ngờ đã bị rò rỉ.
Khi mọi cú click và từng dòng code đều có thể trở thành điểm yếu, việc tỉnh táo và kiểm chứng là lớp bảo mật đầu tiên mỗi nhà phát triển cần tự trang bị cho mình.
Theo WhiteHat.vn
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview