Các nhà nghiên cứu bảo mật của Amazon Inspector vừa báo cáo một trong những sự cố package flooding lớn nhất lịch sử npm, với hơn 150.000 package độc hại được phát hiện. Các package này không chứa mã độc truyền thống, mà là một phần của hoạt động cày token tinh vi, lợi dụng giao thức tea.xyz để kiếm phần thưởng crypto, gây nghiêm trọng registry pollution và làm xói mòn lòng tin vào cộng đồng mã nguồn mở.

Cuộc tấn công này đại diện cho một vector tấn công mới nhắm vào chuỗi cung ứng phần mềm. Không giống như các cuộc tấn công thông thường nhằm đánh cắp thông tin, các package này không chứa mã độc công khai. Thay vào đó, chúng được tạo ra hàng loạt bằng hệ thống tự động với mục đích duy nhất là khai thác cơ chế thưởng của tea.xyz, một hệ thống dựa trên blockchain được thiết kế để thưởng cho các nhà phát triển mã nguồn mở. Các package này chứa các tệp tea.yaml để liên kết với các địa chỉ ví blockchain của hacker.

Mối đe dọa chính của chiến dịch này là registry pollution. Hàng trăm ngàn package rác, không có chức năng được đẩy lên npm đã làm loãng các phần mềm hợp pháp và làm suy giảm lòng tin vào hệ sinh thái open source. Nó cũng gây lãng phí tài nguyên hạ tầng (băng thông, lưu trữ) của registry và tạo tiền lệ nguy hiểm cho việc lạm dụng các hệ thống khen thưởng khác.

Nhóm Amazon Inspector đã phát hiện chiến dịch này bằng cách triển khai các quy tắc phát hiện mới kết hợp với AI vào ngày 24/10/2025. Sau khi xác minh phát hiện, họ đã ngay lập tức hợp tác với OpenSSF (Open Source Security Foundation). OpenSSF đã hành động nhanh chóng, gán MAL-IDs (mã định danh độc hại) cho hơn 150.000 package này chỉ trong vòng 30 phút mỗi package, cho phép cộng đồng chung tay ngăn chặn.

Amazon khuyến nghị các tổ chức nên sử dụng các công cụ (như Amazon Inspector) để rà soát môi trường phát triển, audit và loại bỏ các package chất lượng thấp, không chức năng. Đồng thời, cần tăng cường bảo mật chuỗi cung ứng (harden supply chains) bằng cách thực thi SBOMs (Software Bills of Materials) và ghim các phiên bản package.

#Hashtags: