Làng Công nghệ Chuyện công nghệ

Hơn 500 gói npm lại bị cài mã độc – Cảnh báo bảo mật nghiêm trọng

Các cuộc tấn công chuỗi cung ứng nhằm vào npm giờ chẳng còn xa lạ. Mới chỉ vài tháng im ắng, hệ sinh thái này lại tiếp tục hứng thêm một đợt tấn công mới — lần này tác động tới hơn 500 package. Đúng nghĩa “đau đầu không dứt”.

Theo các nhà nghiên cứu bảo mật quốc tế, một chiến dịch tấn công tinh vi mang tên Shai Hulud v2 đã xâm nhập hàng trăm gói trong hệ sinh thái npm và thậm chí lan sang cả các gói Java/Maven. Tính đến hiện tại, cuộc tấn công đã ảnh hưởng đến hơn 500 package700 phiên bản, tác động tới phần mềm của nhiều nhà cung cấp lớn như Zapier, Postman, PostHog, AsyncAPIENS Domains.

Cách thức nhiễm mã độc

Chuỗi tấn công sử dụng cơ chế tải nhiều tầng để né phát hiện. Các package bị nhiễm đều chứa một preinstall script trong file package.json, kích hoạt một file có tên setup_bun.js. Đây là bộ tải “tàng hình”:

  • Tự động nhận diện hệ điều hành và kiến trúc máy
  • Tìm hoặc tải xuống môi trường chạy Bun
  • Tải và chạy một payload nặng 10MB, được làm rối cực mạnh, có tên bun_environment.js

Quá trình thực thi cũng chặn toàn bộ log đầu ra và lỗi, khiến mã độc chạy nền mà người dùng gần như không thể phát hiện trong lúc cài đặt package.

Điều đáng lo ngại hơn là mã độc đã xuất hiện trong org.mvnpm:posthog-node, một artifact Maven được tạo tự động từ package npm. Điều này cho thấy sự kết nối tự động giữa các hệ sinh thái phần mềm đôi khi vô tình “chuyển giao” cả lỗ hổng bảo mật — biến phần mềm Java trở thành nạn nhân của malware viết cho JavaScript.

Loại malware này còn sử dụng một hạ tầng C2 (command & control) bền vững, khó bị gỡ bỏ. Khi chạy, nó tìm trên GitHub các repository có chứa câu “Sha1-Hulud: The Second Coming”. Nếu tìm thấy, mã độc sẽ lấy về một token GitHub được mã hóa ba tầng Base64 và dùng token đó để gửi dữ liệu đánh cắp. Cơ chế này cho phép kẻ tấn công dễ dàng “gieo lại mầm” bằng cách tạo repo mới nếu repo cũ bị khóa.

Mã độc thu thập toàn bộ biến môi trường, bao gồm:

  • GITHUB_TOKEN
  • NPM_TOKEN
  • AWS_ACCESS_KEY_ID

Ngoài ra, nó còn tải và chạy công cụ bảo mật TruffleHog để quét toàn bộ filesystem tìm các secret được hardcode. Điều này biến nó thành công cụ đánh cắp thông tin ở quy mô lớn và cực kỳ nguy hiểm cho cả cá nhân lẫn tổ chức.

Thứ Tư, 26/11/2025 14:30
53 👨 422

Bạn nên đọc

Xác thực tài khoản!

Theo Nghị định 147/2024/ND-CP, bạn cần xác thực tài khoản trước khi sử dụng tính năng này. Chúng tôi sẽ gửi mã xác thực qua SMS hoặc Zalo tới số điện thoại mà bạn nhập dưới đây:

Số điện thoại chưa đúng định dạng!
Số điện thoại này đã được xác thực!
Bạn có thể dùng Sđt này đăng nhập tại đây!
Lỗi gửi SMS, liên hệ Admin
0 Bình luận
Sắp xếp theo
❖
Xóa Đăng nhập để Gửi
    ❖ Chuyện công nghệ

    Cũ vẫn chất

    Xem thêm