VỮNG MÃI MỘT NIỀM TIN

Cảnh Báo: Tấn Công Supply Chain Trên NPM Ảnh Hưởng Hơn Hàng Tỷ Lượt Tải

  • 11/09/2025

Một cuộc tấn công chuỗi cung ứng (supply chain) chưa từng có đã xuất hiện trên NPM - hệ sinh thái chia sẻ package JavaScript quan trọng bậc nhất thế giới phần mềm. Được các chuyên gia an ninh mạng đánh giá là một trong những mối đe dọa nghiêm trọng nhất năm 2025, cuộc tấn công này đã xâm nhập vào hàng loạt thư viện code nền tảng với tổng cộng hơn 2,6 tỷ lượt tải xuống hàng tuần. Quy mô của sự cố khiến hàng triệu website, ứng dụng và hệ thống trên toàn cầu có nguy cơ bị ảnh hưởng, đặc biệt là các dịch vụ liên quan đến tài sản số và tiền mã hóa.



Cách thức tấn công

Kẻ tấn công đã:

  • Giả mạo email từ NPM để lừa đảo (phishing) một maintainer nổi tiếng – Josh Junon (tài khoản "qix"), chủ nhiều gói phổ biến như Chalk, debug, strip-ansi…

  • Sau khi chiếm được tài khoản, hacker đã chèn mã độc trực tiếp vào file index.js của nhiều package.



                                                                    ( Email lừa đảo )
 

  • Mã độc có khả năng xâm nhập trình duyệt, hook vào các API như fetch, XMLHttpRequest, cũng như các ví tiền số (Ethereum, Solana, Tron…) nhằm:

    • Theo dõi giao dịch tiền mã hóa.
    • Thay đổi địa chỉ ví đích sang ví của hacker.
    • Chiếm đoạt tài sản số ngay trước khi giao dịch được ký và gửi đi.

Nói cách khác, người dùng tưởng đang gửi tiền đến ví hợp pháp, nhưng thực tế toàn bộ tài sản bị chuyển vào ví của kẻ tấn công.

Các package bị nhiễm mã độc

Package Lượt tải hàng tuần
ansi-styles 371,41 triệu
debug 357,6 triệu
chalk 299,99 triệu
supports-color 287,1 triệu
strip-ansi 261,17 triệu
ansi-regex 243,64 triệu
wrap-ansi 197,99 triệu
color-convert 193,5 triệu
color-name 191,71 triệu
is-arrayish 73,8 triệu
slice-ansi 59,8 triệu
error-ex 47,17 triệu
color-string 27,48 triệu
simple-swizzle 26,26 triệu
supports-hyperlinks 19,2 triệu
has-ansi 12,1 triệu
chalk-template 3,9 triệu
backslash 260.000

Tổng cộng: Hơn 2,6 tỷ lượt tải hàng tuần bị ảnh hưởng, trong đó nhiều package là thành phần thiết yếu của hầu hết ứng dụng JavaScript hiện đại.

Nguy cơ thực tế

Mặc dù sự cố chỉ ảnh hưởng đến các gói được cài đặt mới trong khung thời gian 9h – 11h30 sáng ET ngày 10/09/2025, nhưng rủi ro vẫn rất đáng lo ngại:

  • Các hệ thống CI/CD tự động có thể đã vô tình cài bản nhiễm độc.
  • Giao dịch tiền mã hóa có thể bị chuyển hướng.
  • Ứng dụng web trở thành công cụ phát tán mã độc đến người dùng cuối.

Khuyến nghị từ chuyên gia
Đối với nhà phát triển:

  • Rà soát các package cài đặt trong thời gian bị ảnh hưởng.
  • Cập nhật lên phiên bản an toàn mới nhất.
  • Sử dụng package-lock.json / yarn.lock để cố định phiên bản.
  • Bật xác thực 2FA cho tài khoản NPM/GitHub.
  • Thường xuyên kiểm tra log CI/CD để phát hiện hành vi bất thường.

Đối với doanh nghiệp và người dùng cuối:

  • Kiểm tra kỹ địa chỉ ví trước khi xác nhận giao dịch.
  • Sử dụng ví phần cứng, plugin bảo mật và trình duyệt an toàn.
  • Luôn cảnh giác với các ứng dụng web tích hợp ví tiền mã hóa.

💡 Thông điệp quan trọng: Trong thời đại mà phần mềm ngày càng trở nên vô cùng quan trọng, việc đảm bảo an ninh cho hệ thống là yếu tố sống còn. Đừng để một lỗ hổng nhỏ trở thành cánh cửa mở cho kẻ xâm nhập.
(Theo WhiteHat)

Tin tức

Tuyển dụng

Đối tác

Facebook

DTG CORP

Trụ sở chính
Địa chỉ: 41 Trần Khắc Chân, Phường Cầu Kiệu, Thành phố Hồ Chí Minh, Việt Nam
Tòa nhà DTG
Địa chỉ: 272-274 Hòa Hưng, Phường Hòa Hưng, Thành phố Hồ Chí Minh, Việt Nam
Điện thoại: (028) 3865 9999
Fax: (028) 3868 3639
Mail: info@dtgcorp.com.vn
Văn phòng Hà Nội
Địa chỉ: 25 Nguyễn Quốc Trị, Phường Yên Hòa, Thành phố Hà Nội, Việt Nam
Tel: 0916868989
Văn phòng Hải Phòng
Địa chỉ: Tầng 3, BH01-56, KĐT Vinhomes Imperia,
Đường Bạch Đằng, Phường Hồng Bàng, Thành phố Hải Phòng, Việt Nam
Điện thoại: 0912193833