Trong bản tổng hợp những câu chuyện nổi bật nhất năm 2024, Ars đã đề cập đến một vụ tấn công chuỗi cung ứng suýt gây ra thảm họa cho hàng nghìn, thậm chí hàng triệu, tổ chức, bao gồm nhiều công ty trong danh sách Fortune 500 và các cơ quan chính phủ. Các vụ tấn công chuỗi cung ứng lại tiếp tục là vấn đề nổi bật trong năm nay, khi một loạt các vụ tấn công dường như không ngừng nhắm vào các tổ chức lớn nhỏ.

Đối với các tác nhân đe dọa, các cuộc tấn công chuỗi cung ứng là món quà không bao giờ cạn kiệt – hay nói cách khác, là kiểu tấn công không ngừng gây hại. Bằng cách xâm nhập vào một mục tiêu duy nhất với số lượng lớn người dùng ở khâu tiếp theo – chẳng hạn như dịch vụ đám mây hoặc những người bảo trì hay phát triển phần mềm mã nguồn mở hoặc phần mềm độc quyền được sử dụng rộng rãi – kẻ tấn công có thể lây nhiễm cho hàng triệu người dùng ở khâu tiếp theo của mục tiêu đó. Đó chính xác là những gì các tác nhân đe dọa đã làm vào năm 2025.

Đầu độc giếng nước

Một sự kiện tương tự đã xảy ra vào tháng 12 năm 2024, và xứng đáng được xếp hạng trong năm 2025. Nhóm tin tặc đứng sau chiến dịch này đã bỏ túi tới 155.000 đô la từ hàng nghìn bên tham gia hợp đồng thông minh trên chuỗi khối Solana.

Các hacker đã kiếm lời bằng cách cài đặt một cửa hậu vào thư viện mã nguồn được sử dụng bởi các nhà phát triển phần mềm liên quan đến Solana. Công ty bảo mật Socket cho biết họ nghi ngờ những kẻ tấn công đã xâm nhập vào các tài khoản thuộc về các nhà phát triển của Web3.js, một thư viện mã nguồn mở. Sau đó, chúng đã sử dụng quyền truy cập này để thêm một cửa hậu vào bản cập nhật gói phần mềm. Sau khi các nhà phát triển ứng dụng Solana phi tập trung cài đặt bản cập nhật độc hại, cửa hậu đã lan rộng hơn, cho phép những kẻ tấn công truy cập vào các ví cá nhân được kết nối với hợp đồng thông minh. Từ đó, cửa hậu có thể trích xuất các khóa riêng tư.

Năm nay có quá nhiều vụ tấn công chuỗi cung ứng nên không thể liệt kê hết. Một số ví dụ đáng chú ý khác bao gồm:

• Việc cài đặt trái phép một gói phần mềm trên máy chủ proxy sao chép do Google vận hành thay mặt cho các nhà phát triển ngôn ngữ lập trình Go. Hơn 8.000 gói phần mềm khác phụ thuộc vào gói phần mềm mục tiêu để hoạt động. Gói phần mềm độc hại đã sử dụng một tên tương tự với gói phần mềm hợp pháp. Những gói phần mềm "bị chiếm đoạt tên miền do lỗi chính tả" như vậy được cài đặt khi lỗi chính tả hoặc sự thiếu chú ý khiến các nhà phát triển vô tình chọn chúng thay vì gói phần mềm mà họ thực sự muốn sử dụng.
• Việc tấn công kho lưu trữ NPM bằng 126 gói phần mềm độc hại đã khiến kho này bị tải xuống hơn 86.000 lần. Các gói phần mềm này được cài đặt tự động thông qua một tính năng gọi là Remote Dynamic Dependencies (DPD).
• Vụ tấn công đã xâm nhập hơn 500 công ty thương mại điện tử , trong đó có một công ty đa quốc gia trị giá 40 tỷ đô la. Nguồn gốc của cuộc tấn công chuỗi cung ứng là do sự xâm nhập của ba nhà phát triển phần mềm—Tigren, Magesolution (MGS) và Meetanshi—những đơn vị cung cấp phần mềm dựa trên Magento, một nền tảng thương mại điện tử mã nguồn mở được hàng nghìn cửa hàng trực tuyến sử dụng.
• Vụ xâm phạm hàng chục gói phần mềm mã nguồn mở, với tổng cộng 2 tỷ lượt tải xuống mỗi tuần . Các gói phần mềm bị xâm phạm đã được cập nhật mã độc dùng để chuyển tiền điện tử đến ví do kẻ tấn công kiểm soát.
• Việc xâm phạm tj-actions/changed-files , một thành phần của tj-actions, được sử dụng bởi hơn 23.000 tổ chức.
• Vụ xâm nhập nhiều tài khoản nhà phát triển sử dụng kho lưu trữ npm và việc cài đặt cửa hậu vào 10 gói phần mềm làm việc với công ty quản lý tài năng Toptal. Các gói phần mềm độc hại đã được tải xuống khoảng 5.000 lần.

Lỗi bộ nhớ, kiểu chatbot AI

Một loại tấn công khác diễn ra nhiều lần hơn bất kỳ ai có thể đếm được trong năm 2025 là tấn công mạng vào các chatbot AI. Các vụ tấn công có tác động sâu rộng nhất là những vụ làm tổn hại đến bộ nhớ dài hạn của các hệ thống quản lý trí tuệ nhân tạo (LLM). Cũng giống như các cuộc tấn công chuỗi cung ứng cho phép một sự xâm nhập duy nhất kích hoạt một loạt các cuộc tấn công tiếp theo, các vụ tấn công vào bộ nhớ dài hạn có thể khiến chatbot thực hiện các hành động độc hại lặp đi lặp lại.

Một cuộc tấn công như vậy đã sử dụng một yêu cầu đơn giản từ người dùng để hướng dẫn một hệ thống quản lý khóa logic (LLM) tập trung vào tiền điện tử cập nhật cơ sở dữ liệu bộ nhớ của nó với một sự kiện chưa từng thực sự xảy ra . Chatbot này, được lập trình để tuân theo mệnh lệnh và chấp nhận đầu vào của người dùng một cách nguyên văn, đã không thể phân biệt được một sự kiện hư cấu với một sự kiện có thật.

Trong trường hợp này, dịch vụ trí tuệ nhân tạo (AI) là ElizaOS, một khung phần mềm mã nguồn mở mới nổi dùng để tạo ra các tác nhân thực hiện nhiều giao dịch dựa trên blockchain thay mặt người dùng dựa trên một tập hợp các quy tắc được định trước. Các nhà nghiên cứu học thuật đã có thể làm sai lệch bộ nhớ của ElizaOS bằng cách cung cấp cho nó các câu khẳng định rằng một số sự kiện nhất định—mà thực tế chưa bao giờ xảy ra—đã xảy ra trong quá khứ. Những sự kiện sai lệch này sau đó sẽ ảnh hưởng đến hành vi trong tương lai của tác nhân.

Một ví dụ về lời nhắc tấn công cho rằng các nhà phát triển thiết kế ElizaOS muốn hệ thống thay thế ví nhận tiền cho tất cả các giao dịch chuyển khoản trong tương lai bằng một ví do kẻ tấn công kiểm soát. Ngay cả khi người dùng chỉ định một ví khác, bộ nhớ dài hạn được tạo ra bởi lời nhắc này vẫn khiến hệ thống thay thế ví đó bằng ví độc hại. Cuộc tấn công này chỉ là một minh chứng về khả năng thực thi, nhưng các nhà nghiên cứu học thuật đã nghĩ ra nó cho biết rằng các bên tham gia hợp đồng đã được ủy quyền giao dịch với bên thứ ba có thể sử dụng các kỹ thuật tương tự để lừa đảo các bên khác.

Nhà nghiên cứu độc lập Johan Rehberger đã chứng minh một cuộc tấn công tương tự nhắm vào Google Gemini. Những ký ức giả mà ông ta cài đặt đã khiến chatbot hạ thấp các biện pháp phòng vệ thường hạn chế việc gọi Google Workspace và các công cụ nhạy cảm khác khi xử lý dữ liệu không đáng tin cậy. Những ký ức giả này tồn tại vĩnh viễn, cho phép kẻ tấn công nhiều lần thu lợi từ lỗ hổng. Rehberger đã trình bày một cuộc tấn công tương tự vào năm 2024.

Một cuộc tấn công thử nghiệm liên quan đến trí tuệ nhân tạo thứ ba thu hút sự chú ý đã sử dụng kỹ thuật chèn lệnh để khiến chatbot Duo của GitLab thêm các dòng mã độc hại vào một gói mã hợp pháp. Một biến thể của cuộc tấn công này đã đánh cắp thành công dữ liệu nhạy cảm của người dùng.

Một cuộc tấn công đáng chú ý khác nhắm vào công cụ lập trình Gemini CLI. Nó cho phép kẻ tấn công thực thi các lệnh độc hại—chẳng hạn như xóa sạch ổ cứng—trên máy tính của các nhà phát triển sử dụng công cụ trí tuệ nhân tạo này.

Sử dụng trí tuệ nhân tạo làm mồi nhử và tấn công trợ lý ảo.

Các vụ tấn công mạng khác liên quan đến LLM đã sử dụng chatbot để làm cho các cuộc tấn công hiệu quả hơn hoặc lén lút hơn. Đầu tháng này , hai người đàn ông đã bị truy tố vì bị cáo buộc đánh cắp và xóa dữ liệu nhạy cảm của chính phủ. Các công tố viên cho biết, một trong hai người đã cố gắng che giấu dấu vết bằng cách hỏi một công cụ AI "làm thế nào để xóa nhật ký hệ thống khỏi máy chủ SQL sau khi xóa cơ sở dữ liệu". Ngay sau đó, anh ta bị cáo buộc đã hỏi công cụ này, "làm thế nào để xóa tất cả nhật ký sự kiện và ứng dụng khỏi máy chủ Microsoft Windows Server 2012". Tuy nhiên, các nhà điều tra vẫn có thể theo dõi hành động của các bị cáo.

Vào tháng 5 , một người đàn ông đã nhận tội tấn công mạng một nhân viên của Công ty Walt Disney bằng cách lừa người này chạy một phiên bản độc hại của một công cụ tạo ảnh bằng trí tuệ nhân tạo mã nguồn mở được sử dụng rộng rãi.

Vào tháng 8, các nhà nghiên cứu của Google đã cảnh báo người dùng trợ lý trò chuyện AI Salesloft Drift rằng tất cả các mã bảo mật được kết nối với nền tảng này đều có thể bị xâm phạm sau khi phát hiện ra rằng những kẻ tấn công không rõ danh tính đã sử dụng một số thông tin đăng nhập để truy cập email từ các tài khoản Google Workspace. Những kẻ tấn công đã sử dụng các mã này để truy cập vào các tài khoản Salesforce riêng lẻ và từ đó đánh cắp dữ liệu, bao gồm cả thông tin đăng nhập có thể được sử dụng trong các vụ xâm phạm khác.

Cũng có nhiều trường hợp lỗ hổng LLM gây ra hậu quả nghiêm trọng cho người sử dụng. Trong một trường hợp , CoPilot bị phát hiện làm lộ nội dung của hơn 20.000 kho lưu trữ GitHub riêng tư từ các công ty bao gồm Google, Intel, Huawei, PayPal, IBM, Tencent và, trớ trêu thay, Microsoft. Các kho lưu trữ này ban đầu cũng có sẵn thông qua Bing. Microsoft cuối cùng đã xóa các kho lưu trữ này khỏi kết quả tìm kiếm, nhưng CoPilot vẫn tiếp tục làm lộ chúng.

Meta và Yandex bị bắt quả tang

Một câu chuyện an ninh mạng quan trọng khác đã vạch trần cả Meta và Yandex như những kẻ phản diện. Cả hai công ty đều bị phát hiện khai thác lỗ hổng bảo mật trên hệ điều hành Android cho phép họ xác định danh tính người dùng, từ đó theo dõi lịch sử duyệt web của họ trong nhiều năm.

Việc theo dõi ngầm – được thực hiện trong các trình theo dõi Meta Pixel và Yandex Metrica – cho phép Meta và Yandex vượt qua các biện pháp bảo vệ an ninh và quyền riêng tư cốt lõi do cả hệ điều hành Android và các trình duyệt chạy trên đó cung cấp. Ví dụ, cơ chế "sandboxing" của Android cô lập các tiến trình để ngăn chúng tương tác với hệ điều hành và bất kỳ ứng dụng nào khác được cài đặt trên thiết bị, cắt đứt quyền truy cập vào dữ liệu nhạy cảm hoặc tài nguyên hệ thống đặc quyền. Các biện pháp phòng vệ như phân vùng trạng thái và phân vùng bộ nhớ, được tích hợp trong tất cả các trình duyệt chính, lưu trữ cookie trang web và dữ liệu khác liên quan đến một trang web trong các vùng chứa duy nhất cho mỗi tên miền cấp cao nhất của trang web để đảm bảo chúng không thể truy cập được bởi bất kỳ trang web nào khác.

Một thủ thuật tinh vi đã cho phép cả hai công ty vượt qua các biện pháp phòng thủ đó.

2026: Năm của những thất bại về điện toán đám mây

Internet được thiết kế để cung cấp một nền tảng phi tập trung có thể chịu được một cuộc chiến tranh hạt nhân. Như đã trở nên rõ ràng một cách đau đớn trong 12 tháng qua, sự phụ thuộc ngày càng tăng của chúng ta vào một số ít công ty đã làm suy yếu đáng kể mục tiêu đó.

Sự cố gây ảnh hưởng lớn nhất xảy ra vào tháng 10 , khi một điểm yếu duy nhất trong mạng lưới rộng lớn của Amazon đã làm gián đoạn các dịch vụ thiết yếu trên toàn thế giới. Sự cố kéo dài 15 giờ 32 phút.

Nguyên nhân gốc rễ dẫn đến chuỗi sự kiện là một lỗi phần mềm trong phần mềm giám sát tính ổn định của việc cân bằng tải, bằng cách, trong số những việc khác, định kỳ tạo cấu hình DNS mới cho các điểm cuối trong mạng Amazon Web Services. Tình trạng tranh chấp tài nguyên—một loại lỗi khiến một quy trình phụ thuộc vào thời gian hoặc trình tự các sự kiện không thể thay đổi và nằm ngoài tầm kiểm soát của nhà phát triển—đã khiến một thành phần quan trọng bên trong mạng gặp phải “sự chậm trễ bất thường, cần phải thử lại việc cập nhật trên một số điểm cuối DNS”, Amazon cho biết trong báo cáo phân tích sau sự cố. Trong khi thành phần đó đang cố gắng bắt kịp, một thành phần quan trọng thứ hai—một loạt các lỗi DNS—đã tích tụ. Cuối cùng, toàn bộ mạng đã sụp đổ.