Các gói phần mềm có hơn 2 tỷ lượt tải xuống hàng tuần bị tấn công bởi chuỗi cung ứng

Tác giả tanthanh 06/02/2026 12 phút đọc

Tin tặc đã cài mã độc vào các gói phần mềm nguồn mở với hơn 2 tỷ bản cập nhật hàng tuần trong cuộc tấn công chuỗi cung ứng lớn nhất thế giới từ trước đến nay.

Cuộc tấn công đã xâm phạm gần hai chục gói được lưu trữ trên kho lưu trữ npm, đã được công chúng chú ý vào thứ Hai tuần trước xã hội truyền thông bài viết. Cùng lúc đó, Josh Junon, người bảo trì hoặc đồng bảo trì các gói hàng bị ảnh hưởng, nói rằng anh ta đã bị “pwned” sau khi nhận được email tuyên bố tài khoản của anh ta trên nền tảng sẽ bị đóng trừ khi anh ta đăng nhập vào một trang web và cập nhật thông tin xác thực hai yếu tố của mình.

Đánh bại 2FA một cách dễ dàng

“Xin lỗi mọi người, lẽ ra tôi nên chú ý hơn,” Junon, người sử dụng biệt danh Qix, viết. “Không giống tôi; đã có một tuần căng thẳng. Sẽ làm việc để làm sạch điều này.”

Những kẻ tấn công không xác định đằng sau thỏa hiệp tài khoản đã không lãng phí thời gian để tận dụng nó. Trong vòng một giờ, hàng chục gói mã nguồn mở mà Junon giám sát đã nhận được các bản cập nhật bổ sung mã độc để chuyển các khoản thanh toán bằng tiền điện tử sang ví do kẻ tấn công kiểm soát. Với hơn 280 dòng mã, việc bổ sung hoạt động bằng cách giám sát các hệ thống bị nhiễm đối với các giao dịch tiền điện tử và thay đổi địa chỉ của ví nhận thanh toán cho những người bị kẻ tấn công kiểm soát.

Các gói đã bị xâm phạm, cuối cùng được đánh số là 20, bao gồm một số mã nền tảng nhất thúc đẩy hệ sinh thái JavaScript. Chúng được sử dụng hoàn toàn và cũng có hàng ngàn người phụ thuộc, có nghĩa là các gói npm khác không hoạt động trừ khi chúng cũng được cài đặt. (npm là kho lưu trữ mã chính thức cho các tệp JavaScript.)

“Sự chồng chéo với các dự án nổi bật như vậy làm tăng đáng kể bán kính vụ nổ của sự cố này, các nhà nghiên cứu của ” từ công ty bảo mật Socket nói rằng. “Bằng cách xâm phạm Qix, những kẻ tấn công đã có được khả năng đẩy các phiên bản độc hại của các gói bị phụ thuộc gián tiếp bởi vô số ứng dụng, thư viện và khung.”

Các nhà nghiên cứu nói thêm: “Với phạm vi và việc lựa chọn các gói bị ảnh hưởng, đây dường như là một cuộc tấn công có chủ đích được thiết kế để tối đa hóa phạm vi tiếp cận trên toàn hệ sinh thái.”

Thông điệp email Junon fell for đến từ một địa chỉ email tại support.npmjs.help, một tên miền được tạo ra ba ngày trước để bắt chước npmjs.com chính thức được sử dụng bởi npm. Nó cho biết tài khoản của Junon sẽ bị đóng trừ khi anh cập nhật thông tin liên quan đến 2FA— của mình, yêu cầu người dùng xuất trình khóa bảo mật vật lý hoặc cung cấp mật mã một lần do ứng dụng xác thực cung cấp ngoài mật khẩu khi đăng nhập.

Theo một phân tích từ công ty bảo mật Akido, mã độc tự tiêm vào trình duyệt web của các hệ thống bị nhiễm và bắt đầu giám sát các giao dịch chuyển tiền liên quan đến ethereum, bitcoin, solana, tron, litecoin và bitcoin cash. Khi các giao dịch như vậy được phát hiện, các gói bị nhiễm sẽ thay thế ví đích bằng địa chỉ do kẻ tấn công kiểm soát. Phần mềm độc hại hoạt động bằng cách kết nối các hàm JavaScript, bao gồm API tìm nạp, XMLHttpRequest và ví. Hooking cung cấp quyền kiểm soát mã đối với các chức năng để chúng có thể bị dừng hoặc thay đổi tại một số điểm thực thi nhất định.

Ổ cắm liệt kê các gói sau bị ảnh hưởng:

Tin tức về cuộc tấn công vào kho npm xuất hiện khi hai cuộc tấn công chuỗi cung ứng khác nhắm vào các kho khác có ảnh hưởng trong hệ sinh thái phần mềm nguồn mở. Một, tiết lộ thứ sáu bởi công ty bảo mật GitGuardians, đã xâm phạm 3.325 bí mật xác thực cho các tài khoản trên PyPI, npm, DockerHUB, GitHub, Cloudflare và Amazon Web Services. Tổng cộng, 327 người dùng GitHub trên 817 kho lưu trữ đã bị ảnh hưởng.

Trong cuộc tấn công, các tài khoản người bảo trì bị xâm phạm đã đẩy các bản cập nhật gói bổ sung quy trình làm việc GitHub Actions độc hại nhằm trích xuất mã thông báo và các loại bí mật xác thực khác. Tính đến thứ Sáu, GitGuardian cho biết, 9 gói npm và 15 gói PyPI có nguy cơ bị xâm phạm.

Một cuộc tấn công chuỗi cung ứng riêng biệt cũng tấn công người dùng GitHub vào tháng trước, công ty bảo mật Wiz báo cáo tuần trước. Nó nhắm mục tiêu Nx, một công cụ quản lý kho lưu trữ và hệ thống xây dựng nguồn mở được sử dụng trong cài đặt doanh nghiệp. Thỏa hiệp ban đầu bắt đầu sau khi có được mã thông báo xác thực hợp lệ cho tài khoản npm.

Mã độc hại đã trích xuất mã thông báo GitHub và npm được lưu trữ trên các hệ thống bị xâm nhập. Nó cũng lạm dụng giao diện dòng lệnh AI để xác định các tệp bổ sung có thể hữu ích cho việc truy cập các kho lưu trữ quan tâm. Giai đoạn thứ hai của cuộc tấn công đã sử dụng mã thông báo GitHub bị xâm phạm để lộ các kho lưu trữ riêng tư bằng cách công khai chúng trên hồ sơ GitHub của nạn nhân. Thông tin xác thực bị đánh cắp đã được tải lên kho GitHub có chứa tên s1ngularity-repository, tạo cơ sở cho tên s1ngularity mà Wiz đã đặt cho vụ việc.