Một trong những cuộc tấn công chuỗi cung ứng (supply chain attack) nghiêm trọng nhất vừa xảy ra, nhắm vào các thư viện JavaScript phổ biến như chalk, strip-ansi và color-convert — những gói được tải về hàng tỷ lần mỗi tuần.
Theo các báo cáo ngày 9/9, tin tặc đã xâm nhập tài khoản NPM (Node Package Manager) của một lập trình viên nổi tiếng và chèn mã độc vào nhiều thư viện mã nguồn mở.
Nguy cơ đối với người dùng crypto
Đoạn mã độc được cài cắm có khả năng hoạt động như một crypto-clipper: âm thầm thay thế địa chỉ ví khi người dùng thực hiện giao dịch, từ đó chuyển tài sản sang ví của hacker.
Ông Charles Guillemet, Giám đốc công nghệ của Ledger, cảnh báo:
“Đây là một cuộc tấn công quy mô lớn. Các gói bị ảnh hưởng đã được tải xuống hơn 1 tỷ lần. Toàn bộ hệ sinh thái JavaScript có thể đang bị đe dọa.”
Dù người dùng ví phần cứng (hardware wallet) có thể yên tâm hơn vì mỗi giao dịch đều được xác nhận thủ công, những ai chỉ sử dụng ví phần mềm sẽ gặp rủi ro lớn.
Vì sao cuộc tấn công nguy hiểm?
-
Các thư viện bị nhiễm thường nằm sâu trong cây phụ thuộc (dependency tree) của hàng triệu ứng dụng, ngay cả khi lập trình viên không trực tiếp cài đặt.
-
Mã độc có thể can thiệp vào nút “Swap” hoặc nút giao dịch trên website, thay đổi thông tin người dùng ký xác nhận.
-
Chỉ những dự án cập nhật sau khi gói bị chèn mã độc mới bị ảnh hưởng, nhưng người dùng không dễ dàng xác định đâu là phiên bản an toàn.
Do vậy, nhiều chuyên gia khuyến nghị nên tạm ngừng giao dịch crypto trên các website cho đến khi các gói này được kiểm soát.
Hacker chiếm quyền truy cập bằng email giả mạo
Theo điều tra, hacker đã gửi email giả mạo đội ngũ hỗ trợ NPM, yêu cầu nhà phát triển cập nhật xác thực hai lớp (2FA). Những email này dẫn tới trang web giả, nơi hacker thu thập thông tin đăng nhập.
Sau khi chiếm quyền kiểm soát tài khoản duy trì (maintainer account), chúng đẩy lên các bản cập nhật chứa mã độc cho các gói đang được tải về hàng tỷ lần.
Nhà nghiên cứu Charlie Eriksen (Aikido Security) nhận định:
“Cuộc tấn công này nguy hiểm vì nó hoạt động ở nhiều lớp cùng lúc: thay đổi nội dung hiển thị trên website, can thiệp API, và thao túng cả dữ liệu mà ứng dụng tin rằng người dùng đang ký.”
Kết luận
Đây được xem là cuộc tấn công supply chain lớn nhất lịch sử đối với hệ sinh thái JavaScript, với mục tiêu trực tiếp là người dùng crypto. Trong bối cảnh mã độc đã len lỏi vào hàng tỷ lượt tải, các chuyên gia nhấn mạnh:
➡️ Người dùng nên hạn chế giao dịch crypto trong ngắn hạn, đặc biệt trên các ứng dụng web chưa được xác nhận an toàn.
➡️ Ưu tiên sử dụng ví cứng để giảm thiểu rủi ro.
⛔ Disclaimer: Bài viết chỉ nhằm cung cấp thông tin, không phải lời khuyên đầu tư. Hãy luôn kiểm tra kỹ trước khi thực hiện bất kỳ giao dịch nào.
