Một nhóm hacker Bắc Triều Tiên đã tải lên hơn 300 gói mã độc vào kho thư viện npm, mạo danh các thư viện phổ biến để cài mã đánh cắp mật khẩu và khoá ví mã hóa. Hoạt động này nhắm tới phát triển viên blockchain và Web3 thông qua tấn công kiểu tuyển dụng giả mạo.
Bảo mật chuỗi cung ứng phần mềm tiếp tục là rủi ro lớn: khoảng 50.000 lượt tải cho thấy nhiều gói độc vẫn tồn tại. Đội ngũ phát triển cần coi mỗi lần cài phụ thuộc như một khả năng thực thi mã và áp dụng quét, xác thực trước khi hợp nhất vào dự án.
Hơn 300 gói độc trên npm mạo danh thư viện phổ biến, mục tiêu là đánh cắp mật khẩu và khoá ví.
Chiến dịch “Infectious Interview” dùng tuyển dụng giả mạo để tiếp cận dev blockchain/Web3; khoảng 50.000 lượt tải.
Khuyến nghị: quét mã, xác thực phụ thuộc, sử dụng registry riêng và khoá phiên bản để giảm rủi ro chuỗi cung ứng.
Tóm tắt vụ việc
Các gói chứa mã nhằm đánh cắp mật khẩu và khóa ví tiền điện tử. Hacker mạo danh tuyển dụng viên kỹ thuật để tiếp cận phát triển viên blockchain/Web3; một số gói đã được tải về khoảng 50.000 lần trước khi bị xử lý.
Cơ chế tấn công và dấu hiệu nhận biết
Hacker sử dụng kỹ thuật typosquatting—tạo tên gói sai chính tả tương tự thư viện phổ biến—kèm loader giải mã trong bộ nhớ để tránh dấu vết trên đĩa.
Dấu hiệu cảnh báo: tên gói gần giống nhưng khác chính tả, số phiên bản mới không tương thích, phụ thuộc không có lịch sử phát hành hoặc có mã obfuscated. Kiểm tra author, lượt tải và repository giúp sàng lọc ban đầu.
Rủi ro chuỗi cung ứng và khuyến nghị
Rủi ro gồm lộ mật khẩu, mất khoá ví tiền điện tử và nguy cơ thực thi mã trên môi trường xây dựng hoặc sản xuất thông qua phụ thuộc bị nhiễm.
Biện pháp: quét phụ thuộc bằng công cụ SCA, khoá phiên bản, sử dụng registry nội bộ, kiểm duyệt manual cho gói mới, áp dụng chữ ký số cho gói, hạn chế quyền ghi của hệ thống CI/CD và review thay đổi trước khi merge.
Làm sao phát hiện gói npm khả nghi?
Kiểm tra chính tả tên, tác giả, lịch sử phát hành, số lượt tải, repository và mã nguồn; dùng công cụ quét SCA để phát hiện hàm mã độc hoặc patterns đáng ngờ.
Nếu đã cài gói độc, nên làm gì ngay?
Ngắt kết nối môi trường bị ảnh hưởng, roll back lên phiên bản an toàn, rà soát logs, thay mật khẩu/khóa, quét toàn bộ hệ thống và cập nhật dependency policy.
Những chính sách nào giúp giảm rủi ro chuỗi cung ứng?
Áp dụng lockfile, pin phiên bản, registry nội bộ, chữ ký gói, kiểm duyệt manual cho phụ thuộc mới và tích hợp quét SCA vào pipeline CI/CD.
GitHub và npm có hành động không?
Các nền tảng đã tăng cường xác thực tài khoản và gỡ một số gói độc. Tuy nhiên, việc phòng ngừa ở phía người dùng vẫn là cần thiết vì mối nguy tiếp tục xuất hiện.
