Giới bảo mật vừa phát đi cảnh báo đỏ về một chiến dịch tấn công chuỗi cung ứng mới, nơi các lập trình viên đang trở thành mục tiêu trực tiếp của những biến thể mã độc cực kỳ tinh vi. Từ những gói thư viện quen thuộc trên npm cho đến hạ tầng Maven, kẻ tấn công đang sử dụng kỹ thuật giả mạo danh tính để chiếm quyền điều khiển hệ thống và đánh cắp dữ liệu nhạy cảm.
Sự trở lại của Shai Hulud trên npm
Các nhà nghiên cứu an ninh mạng phát hiện ra mối đe dọa bắt nguồn từ sự trở lại của dòng sâu máy tính Shai Hulud. Các chuyên gia tại Aikido đã phát hiện một biến thể mới của loại mã độc này ẩn náu trong gói @vietmoney/react-big-calendar. Theo ghi nhận, gói này đã được downloaded 698 times kể từ khi ra mắt và vừa được cập nhật mã độc vào cuối tháng 12 năm 2025.
Điểm nguy hiểm nhất của Shai Hulud là khả năng tự nhân bản theo dạng worm. Sau khi xâm nhập, nó sẽ đánh cắp các token npm để truy cập vào những dự án khác của lập trình viên, sau đó tự động chèn mã độc vào hàng trăm gói phần mềm phổ biến nhất nhằm mở rộng quy mô lây nhiễm. Toàn bộ thông tin nhạy cảm như API keys và tài liệu đám mây sẽ bị đẩy lên các kho lưu trữ GitHub dưới danh nghĩa Goldox-T3chs: Only Happy Girl.
Bẫy Typosquatting trên Maven Central
Song song với đó, một cuộc tấn công typosquatting tinh vi khác cũng được ghi nhận trên Maven Central. Kẻ tấn công đã tạo ra gói org.fasterxml.jackson.core/jackson-databind nhằm giả mạo thư viện Jackson JSON nổi tiếng (bản gốc là com.fasterxml.jackson.core). Khi một ứng dụng Spring Boot tích hợp thư viện này, mã độc sẽ tự động kích hoạt thông qua cơ chế tự cấu hình bean mà không bao giờ cần bất kỳ lệnh gọi thực thi nào từ phía lập trình viên.
Ngay sau khi khởi chạy, nó sẽ kiểm tra môi trường hệ thống và kết nối tới máy chủ điều khiển m.fasterxml[.]org:51211 để tải về công cụ tấn công Cobalt Strike từ địa chỉ IP 103.127.243[.]82:8000. Điều này cho phép tin tặc thiết lập quyền kiểm soát từ xa (C2) và thực hiện các hành vi hậu khai thác trên cả Windows lẫn macOS.
Lỗ hổng trong cơ chế xác thực và Khuyến nghị
Sự xuất hiện đồng thời của hai chiến dịch này cho thấy những nghiêm trọng trong cơ chế xác thực của các kho lưu trữ gói phần mềm lớn hiện nay. Việc chỉ thay đổi tiền tố TLD trong không gian tên như từ com sang org đã đủ để đánh lừa các hệ thống kiểm duyệt tự động và cả những nhà phát triển thiếu cảnh giác.
Các chuyên gia khuyến cáo cộng đồng lập trình viên cần thực hiện rà soát lại toàn bộ tệp pom.xml và các phụ thuộc npm, đồng thời áp dụng các công cụ quét lỗ hổng liên tục để bảo vệ chuỗi cung ứng phần mềm trước những biến thể mã độc ngày càng biến hóa khôn lường.
