CyberThao
Writer
GitHub vừa công bố những thay đổi lớn về xác thực và xuất bản gói npm, nhằm đối phó với loạt tấn công chuỗi cung ứng gần đây, bao gồm vụ việc mang tên Shai-Hulud. Đây là bước đi quan trọng để bảo vệ hệ sinh thái lập trình khỏi phần mềm độc hại và lạm dụng token.
GitHub sẽ triển khai một loạt biện pháp mới:
Trusted publishing không chỉ loại bỏ nhu cầu dùng token npm mà còn xác thực bằng chứng mật mã cho từng lần phát hành. npm CLI sẽ tự động tạo và công bố chứng thực nguồn gốc, giúp người dùng xác minh gói được xây dựng ở đâu và trong môi trường nào.
GitHub nhấn mạnh: mỗi gói xuất bản qua trusted publishing đều kèm bằng chứng mật mã, từ đó tăng tính minh bạch và độ tin cậy trong chuỗi cung ứng phần mềm.
Những thay đổi này được đưa ra chỉ một tuần sau khi sâu Shai-Hulud được cấy vào hàng trăm gói npm, lén quét máy tính của nhà phát triển để đánh cắp thông tin nhạy cảm và gửi về máy chủ do kẻ tấn công kiểm soát.
Xavier René-Corail, chuyên gia GitHub, cảnh báo: sự kết hợp giữa khả năng tự sao chép và đánh cắp nhiều loại bí mật (không chỉ token npm) có thể mở đường cho vô số cuộc tấn công nguy hiểm nếu không được xử lý kịp thời.
Song song với GitHub, NuGet .NET cũng đã bổ sung hỗ trợ trusted publishing, còn Ruby Central áp dụng quy định mới: chỉ kỹ sư do họ tuyển dụng hoặc ký hợp đồng mới có quyền quản trị RubyGems.org và kho GitHub liên quan.
Không dừng lại ở đó, công ty bảo mật Socket vừa phát hiện gói npm độc hại tên fezbox (phát hành ngày 21/8/2025, tải về 476 lần) chứa kỹ thuật ẩn mã độc trong mã QR. Gói này giả mạo là thư viện tiện ích JavaScript, nhưng thực chất:
Nhà nghiên cứu Olivia Brown cho biết: dù ngày nay mật khẩu ít khi lưu trực tiếp trong cookie, nhưng việc kẻ tấn công tận dụng mã QR để che giấu hành vi là thủ đoạn sáng tạo, cho thấy kỹ thuật tấn công vẫn không ngừng tinh vi.
Đọc chi tiết tại đây: https://thehackernews.com/2025/09/github-mandates-2fa-and-short-lived.html
Các thay đổi chính từ GitHub
GitHub sẽ triển khai một loạt biện pháp mới:
- Loại bỏ hoàn toàn các token cũ.
- Ngừng hỗ trợ xác thực 2FA bằng mật khẩu dùng một lần (TOTP), chuyển sang 2FA dựa trên FIDO an toàn hơn.
- Token có quyền xuất bản sẽ bị giới hạn thời hạn tối đa 7 ngày.
- Quyền xuất bản mặc định không còn gán cho token, thay vào đó khuyến khích xuất bản đáng tin cậy qua CI/CD với OpenID Connect (OIDC) hoặc xuất bản cục bộ có 2FA.
- Xóa tùy chọn bỏ qua 2FA khi xuất bản gói npm.
- Mở rộng danh sách nhà cung cấp dịch vụ hỗ trợ cơ chế trusted publishing.
Trusted publishing không chỉ loại bỏ nhu cầu dùng token npm mà còn xác thực bằng chứng mật mã cho từng lần phát hành. npm CLI sẽ tự động tạo và công bố chứng thực nguồn gốc, giúp người dùng xác minh gói được xây dựng ở đâu và trong môi trường nào.
GitHub nhấn mạnh: mỗi gói xuất bản qua trusted publishing đều kèm bằng chứng mật mã, từ đó tăng tính minh bạch và độ tin cậy trong chuỗi cung ứng phần mềm.
Các vụ tấn công và phát hiện mới
Những thay đổi này được đưa ra chỉ một tuần sau khi sâu Shai-Hulud được cấy vào hàng trăm gói npm, lén quét máy tính của nhà phát triển để đánh cắp thông tin nhạy cảm và gửi về máy chủ do kẻ tấn công kiểm soát.
Xavier René-Corail, chuyên gia GitHub, cảnh báo: sự kết hợp giữa khả năng tự sao chép và đánh cắp nhiều loại bí mật (không chỉ token npm) có thể mở đường cho vô số cuộc tấn công nguy hiểm nếu không được xử lý kịp thời.
Song song với GitHub, NuGet .NET cũng đã bổ sung hỗ trợ trusted publishing, còn Ruby Central áp dụng quy định mới: chỉ kỹ sư do họ tuyển dụng hoặc ký hợp đồng mới có quyền quản trị RubyGems.org và kho GitHub liên quan.
Không dừng lại ở đó, công ty bảo mật Socket vừa phát hiện gói npm độc hại tên fezbox (phát hành ngày 21/8/2025, tải về 476 lần) chứa kỹ thuật ẩn mã độc trong mã QR. Gói này giả mạo là thư viện tiện ích JavaScript, nhưng thực chất:
- Tải mã QR từ máy chủ bên ngoài.
- Giải mã để lấy JavaScript độc hại.
- Thực thi mã, đọc cookie trong trình duyệt và gửi dữ liệu đăng nhập về máy chủ từ xa.
Nhà nghiên cứu Olivia Brown cho biết: dù ngày nay mật khẩu ít khi lưu trực tiếp trong cookie, nhưng việc kẻ tấn công tận dụng mã QR để che giấu hành vi là thủ đoạn sáng tạo, cho thấy kỹ thuật tấn công vẫn không ngừng tinh vi.
Đọc chi tiết tại đây: https://thehackernews.com/2025/09/github-mandates-2fa-and-short-lived.html
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview