-
09/04/2020
-
141
-
1.922 bài viết
Chiến dịch TrapDoor phát tán mã độc trên npm, PyPI và Crates.io
Một chiến dịch tấn công chuỗi cung ứng quy mô lớn mang tên “TrapDoor” vừa bị phát hiện đang âm thầm khai thác các kho lưu trữ mã nguồn phổ biến gồm npm, PyPI và Crates.io nhằm phát tán mã độc tới cộng đồng lập trình viên toàn cầu. Theo các chuyên gia an ninh mạng, chiến dịch này đặc biệt nhắm vào các nhà phát triển hoạt động trong lĩnh vực trí tuệ nhân tạo, tài chính phi tập trung và tiền mã hóa để đánh cắp thông tin xác thực, ví crypto cùng dữ liệu hạ tầng doanh nghiệp.
Chiến dịch được ghi nhận lần đầu vào ngày 22/5/2026 với package độc hại “[email protected]” xuất hiện trên PyPI. Không lâu sau đó, nhóm tấn công nhanh chóng mở rộng hoạt động sang npm và Crates.io, phát tán hàng loạt package giả mạo với những cái tên dễ tạo cảm giác tin cậy như “prompt-engineering-toolkit”, “solidity-deploy-guard” và “defi-threat-scanner”. Các package này được ngụy trang thành công cụ kiểm tra bảo mật, hỗ trợ triển khai hợp đồng thông minh hoặc tiện ích dành cho lập trình viên AI nhằm dụ nạn nhân cài đặt vào môi trường phát triển thực tế.
- Hệ sinh thái npm: Mã độc lợi dụng cơ chế postinstall hooks để tự động kích hoạt ngay sau khi package được cài đặt. Payload trung tâm có tên trap-core.js sẽ được triển khai nhằm đánh cắp thông tin xác thực và duy trì quyền truy cập lâu dài trên hệ thống. Dữ liệu bị đánh cắp được mã hóa bằng Fernet và ECDH trước khi gửi ra ngoài.
- Kho lưu trữ PyPI: Package độc hại sẽ tự động thực thi ngay khi được import vào dự án, sau đó sử dụng lệnh node -e để tải thêm payload JavaScript từ GitHub Pages. Cách triển khai này cho phép tin tặc thay đổi hành vi của malware mà không cần cập nhật package trên kho lưu trữ.
- Nền tảng Crates.io: Các package độc hại sử dụng script build.rs trong quá trình build dự án Rust để quét và đánh cắp keystore của các nhà phát triển Sui và Move. Dữ liệu sau đó được mã hóa bằng cơ chế XOR với khóa cứng cargo-build-helper-2026.
Mục tiêu chính của chiến dịch bao gồm ví tiền mã hóa Sui, Solana và Aptos, cùng với SSH key, token AWS, tài khoản GitHub, hồ sơ trình duyệt và các biến môi trường chứa thông tin hạ tầng cloud. Thành phần “trap-core.js” dài hơn 1.100 dòng còn được thiết kế để duy trì khả năng bám trụ thông qua systemd services, cron jobs, Git hooks và shell hooks. Theo các nhà nghiên cứu, những SSH key bị đánh cắp sau đó có thể bị lợi dụng để thực hiện kỹ thuật di chuyển ngang trong mạng nội bộ doanh nghiệp, biến một máy trạm bị nhiễm thành bàn đạp cho các cuộc xâm nhập sâu hơn.
Đáng chú ý, TrapDoor còn cho thấy xu hướng tấn công mới nhắm trực tiếp vào các trợ lý AI phục vụ lập trình. Tin tặc đã chỉnh sửa các file như “.cursorrules” và “CLAUDE.md”, đồng thời chèn các ký tự Unicode vô hình nhằm che giấu chỉ dẫn độc hại khỏi mắt thường. Khi các trợ lý AI đọc những tệp này, chúng có thể bị thao túng để thực hiện hành vi đánh cắp dữ liệu dưới danh nghĩa “quét bảo mật” hoặc “kiểm tra dự án tự động”.
Để mở rộng phạm vi ảnh hưởng, nhóm tin tặc đứng sau chiến dịch được cho là đã sử dụng tài khoản GitHub “ddjidd564” để gửi các pull request chứa cấu hình độc hại tới nhiều dự án AI mã nguồn mở nổi tiếng như LangChain, MetaGPT và OpenHands.
Các nhà nghiên cứu cho biết hạ tầng điều khiển của TrapDoor được đặt trên GitHub Pages, đi kèm tài liệu nội bộ “AUDIT-MATRIX.md” mô tả một framework có tên “Universal AI Agent Extraction Framework”. Tài liệu này cho thấy chiến dịch được tổ chức bài bản, với mục tiêu tận dụng chính các quy trình tự động hóa và trợ lý AI để phục vụ hoạt động đánh cắp dữ liệu và xâm nhập doanh nghiệp trên quy mô lớn.
TrapDoor cho thấy các cuộc tấn công chuỗi cung ứng đang bước sang giai đoạn nguy hiểm hơn, khi mục tiêu không chỉ là lập trình viên hay hệ thống doanh nghiệp mà còn là chính các trợ lý AI hỗ trợ phát triển phần mềm. Bằng cách cài cắm chỉ dẫn độc hại trong những tệp cấu hình tưởng chừng vô hại, tin tặc có thể biến AI thành công cụ trung gian cho hoạt động đánh cắp dữ liệu và xâm nhập hệ thống. Thực tế này cũng buộc cộng đồng công nghệ phải thay đổi tư duy phòng thủ, khi quy trình kiểm thử an ninh giờ đây không thể chỉ dừng ở rà soát mã nguồn truyền thống mà còn phải giám sát hành vi AI và kiểm tra tính toàn vẹn của các tệp cấu hình trong môi trường phát triển.
Đáng chú ý, TrapDoor còn cho thấy xu hướng tấn công mới nhắm trực tiếp vào các trợ lý AI phục vụ lập trình. Tin tặc đã chỉnh sửa các file như “.cursorrules” và “CLAUDE.md”, đồng thời chèn các ký tự Unicode vô hình nhằm che giấu chỉ dẫn độc hại khỏi mắt thường. Khi các trợ lý AI đọc những tệp này, chúng có thể bị thao túng để thực hiện hành vi đánh cắp dữ liệu dưới danh nghĩa “quét bảo mật” hoặc “kiểm tra dự án tự động”.
Để mở rộng phạm vi ảnh hưởng, nhóm tin tặc đứng sau chiến dịch được cho là đã sử dụng tài khoản GitHub “ddjidd564” để gửi các pull request chứa cấu hình độc hại tới nhiều dự án AI mã nguồn mở nổi tiếng như LangChain, MetaGPT và OpenHands.
Các nhà nghiên cứu cho biết hạ tầng điều khiển của TrapDoor được đặt trên GitHub Pages, đi kèm tài liệu nội bộ “AUDIT-MATRIX.md” mô tả một framework có tên “Universal AI Agent Extraction Framework”. Tài liệu này cho thấy chiến dịch được tổ chức bài bản, với mục tiêu tận dụng chính các quy trình tự động hóa và trợ lý AI để phục vụ hoạt động đánh cắp dữ liệu và xâm nhập doanh nghiệp trên quy mô lớn.
TrapDoor cho thấy các cuộc tấn công chuỗi cung ứng đang bước sang giai đoạn nguy hiểm hơn, khi mục tiêu không chỉ là lập trình viên hay hệ thống doanh nghiệp mà còn là chính các trợ lý AI hỗ trợ phát triển phần mềm. Bằng cách cài cắm chỉ dẫn độc hại trong những tệp cấu hình tưởng chừng vô hại, tin tặc có thể biến AI thành công cụ trung gian cho hoạt động đánh cắp dữ liệu và xâm nhập hệ thống. Thực tế này cũng buộc cộng đồng công nghệ phải thay đổi tư duy phòng thủ, khi quy trình kiểm thử an ninh giờ đây không thể chỉ dừng ở rà soát mã nguồn truyền thống mà còn phải giám sát hành vi AI và kiểm tra tính toàn vẹn của các tệp cấu hình trong môi trường phát triển.