-
09/04/2020
-
141
-
1.997 bài viết
Phát hiện gói npm giả mạo PostCSS phát tán mã độc RAT nhắm vào lập trình viên
Chiến dịch tấn công chuỗi cung ứng phần mềm mới vừa được các chuyên gia an ninh mạng phát hiện trên kho npm (nền tảng quản lý thư viện JavaScript phổ biến nhất thế giới). Tin tặc đã phát tán nhiều gói phần mềm độc hại ngụy trang thành các công cụ liên quan đến PostCSS, một thành phần quen thuộc trong quá trình phát triển website hiện đại, nhằm cài cắm mã độc điều khiển từ xa (RAT) vào máy tính của các lập trình viên.
Vụ việc tiếp tục cho thấy giới tội phạm mạng đang ngày càng chuyển hướng sang các cuộc tấn công chuỗi cung ứng phần mềm, thay vì chỉ tập trung khai thác lỗ hổng hệ thống truyền thống. Chỉ cần một nhà phát triển vô tình cài đặt nhầm thư viện giả mạo, toàn bộ môi trường phát triển, máy chủ CI/CD hoặc thậm chí hệ thống doanh nghiệp phía sau có thể bị đặt vào tình trạng rủi ro.
Các gói npm giả mạo được phát hiện như thế nào?
Theo các nhà nghiên cứu, chiến dịch lần này lợi dụng kỹ thuật typosquatting và giả mạo thư viện mã nguồn mở. Kẻ tấn công đăng tải các gói npm có tên gọi tương tự hoặc dễ gây nhầm lẫn với các plugin PostCSS hợp pháp nhằm đánh lừa nhà phát triển trong quá trình tìm kiếm và cài đặt thư viện.
Ba gói độc hại được xác định gồm:
Ba gói độc hại được xác định gồm:
- aes-decode-runner-pro
- postcss-minify-selector
- postcss-minify-selector-parser
Thoạt nhìn, những tên gọi này giống các plugin tối ưu hóa CSS hoặc các thành phần hỗ trợ xử lý giao diện web. Tuy nhiên, thay vì cung cấp chức năng như quảng cáo, chúng được thiết kế để phát tán mã độc RAT trên hệ điều hành Windows.
Điều đáng chú ý là PostCSS hiện được sử dụng rộng rãi trong các dự án React, Next.js, Vue.js, Tailwind CSS và nhiều hệ sinh thái phát triển web khác. Chính vì vậy, việc giả mạo các plugin liên quan đến PostCSS giúp tăng đáng kể khả năng nạn nhân mắc bẫy.
Điều đáng chú ý là PostCSS hiện được sử dụng rộng rãi trong các dự án React, Next.js, Vue.js, Tailwind CSS và nhiều hệ sinh thái phát triển web khác. Chính vì vậy, việc giả mạo các plugin liên quan đến PostCSS giúp tăng đáng kể khả năng nạn nhân mắc bẫy.
Mã độc hoạt động ra sao?
Sau khi lập trình viên tải và cài đặt các gói npm giả mạo, mã độc sẽ được kích hoạt ngay trong quá trình cài đặt phụ thuộc của dự án. Về bản chất, đây là một cuộc tấn công chuỗi cung ứng phần mềm. Thay vì xâm nhập trực tiếp vào doanh nghiệp, kẻ tấn công cài cắm mã độc vào các thư viện mà nhà phát triển tin tưởng sử dụng hàng ngày. Khi gói độc hại được cài đặt, RAT sẽ được triển khai trên máy tính nạn nhân và thiết lập kết nối tới hạ tầng điều khiển của kẻ tấn công.
Sau khi lây nhiễm thành công, mã độc có thể:
Sau khi lây nhiễm thành công, mã độc có thể:
- Thu thập thông tin hệ thống.
- Thực thi lệnh từ xa.
- Tải xuống thêm các thành phần độc hại khác.
- Đánh cắp dữ liệu và thông tin xác thực.
- Duy trì quyền truy cập lâu dài trên thiết bị.
Đây là kiểu mã độc đặc biệt nguy hiểm vì nó cho phép kẻ tấn công kiểm soát gần như hoàn toàn máy tính của nạn nhân từ xa.
Vì sao lập trình viên trở thành mục tiêu hấp dẫn?
Không giống người dùng thông thường, máy tính của lập trình viên thường chứa rất nhiều dữ liệu giá trị. Một máy phát triển phần mềm có thể lưu trữ mã nguồn nội bộ, khóa API, chứng chỉ truy cập đám mây, tài khoản GitHub, GitLab, Jenkins, Kubernetes hoặc các thông tin xác thực phục vụ vận hành hệ thống doanh nghiệp. Chỉ cần chiếm được một máy phát triển, tin tặc có thể tiếp tục mở rộng phạm vi xâm nhập sang các hệ thống quan trọng khác.
Đây cũng là lý do các chiến dịch tấn công npm gần đây liên tục tập trung vào cộng đồng lập trình viên thay vì người dùng cuối. Trong năm 2026, nhiều chiến dịch tương tự đã bị phát hiện trên npm, từ phát tán RAT, đánh cắp khóa API AI cho đến thu thập thông tin ví tiền điện tử và thông tin xác thực đám mây.
Đây cũng là lý do các chiến dịch tấn công npm gần đây liên tục tập trung vào cộng đồng lập trình viên thay vì người dùng cuối. Trong năm 2026, nhiều chiến dịch tương tự đã bị phát hiện trên npm, từ phát tán RAT, đánh cắp khóa API AI cho đến thu thập thông tin ví tiền điện tử và thông tin xác thực đám mây.
Mức độ ảnh hưởng đáng lo ngại ra sao?
Mặc dù hiện chưa có thông tin về số lượng nạn nhân cụ thể trong chiến dịch này, nhưng giới chuyên gia đánh giá đây là một mối đe dọa nghiêm trọng đối với chuỗi cung ứng phần mềm.
Khác với các cuộc tấn công nhắm vào một tổ chức đơn lẻ, một thư viện npm độc hại có thể được tải xuống và tích hợp vào hàng nghìn dự án khác nhau chỉ trong thời gian ngắn. Nếu thư viện đó xuất hiện trong môi trường CI/CD hoặc hệ thống build tự động, phạm vi ảnh hưởng có thể lan rộng ra nhiều doanh nghiệp cùng lúc.
Nghiên cứu gần đây cho thấy hệ sinh thái npm đang trở thành mục tiêu hàng đầu của các cuộc tấn công chuỗi cung ứng và phần lớn các gói được phát hành không trải qua quá trình kiểm tra bảo mật bắt buộc trước khi xuất hiện trên kho công khai.
Khác với các cuộc tấn công nhắm vào một tổ chức đơn lẻ, một thư viện npm độc hại có thể được tải xuống và tích hợp vào hàng nghìn dự án khác nhau chỉ trong thời gian ngắn. Nếu thư viện đó xuất hiện trong môi trường CI/CD hoặc hệ thống build tự động, phạm vi ảnh hưởng có thể lan rộng ra nhiều doanh nghiệp cùng lúc.
Nghiên cứu gần đây cho thấy hệ sinh thái npm đang trở thành mục tiêu hàng đầu của các cuộc tấn công chuỗi cung ứng và phần lớn các gói được phát hành không trải qua quá trình kiểm tra bảo mật bắt buộc trước khi xuất hiện trên kho công khai.
Những rủi ro doanh nghiệp cần lưu ý
Nguy cơ lớn nhất không chỉ nằm ở việc một máy tính bị nhiễm mã độc, mà ở khả năng kẻ tấn công sử dụng thiết bị đó như bàn đạp để xâm nhập sâu hơn vào hạ tầng doanh nghiệp.
Nếu thông tin xác thực bị đánh cắp, hacker có thể:
Nếu thông tin xác thực bị đánh cắp, hacker có thể:
- Truy cập kho mã nguồn nội bộ.
- Đánh cắp mã nguồn và tài sản trí tuệ.
- Xâm nhập môi trường đám mây.
- Cấy mã độc vào quy trình phát triển phần mềm.
- Tấn công chuỗi cung ứng khách hàng và đối tác.
- Triển khai ransomware hoặc mã độc đánh cắp dữ liệu ở giai đoạn sau.
Trong nhiều vụ việc trước đây, một thư viện độc hại ban đầu chỉ đóng vai trò thu thập thông tin nhưng sau đó được sử dụng để phát tán thêm các payload nguy hiểm hơn như RAT, infostealer hoặc ransomware.
Doanh nghiệp và lập trình viên nên làm gì?
Các chuyên gia khuyến nghị những tổ chức sử dụng npm cần nhanh chóng rà soát hệ thống để xác định xem các gói độc hại có từng xuất hiện trong môi trường phát triển hay không.
Bên cạnh việc kiểm tra các tệp package.json và package-lock.json, doanh nghiệp cũng nên theo dõi các hoạt động bất thường trên máy trạm lập trình viên, đặc biệt là các kết nối mạng đáng ngờ hoặc các tiến trình được khởi chạy ngay sau khi cài đặt thư viện mới.
Nếu phát hiện đã cài đặt một trong các gói độc hại, cần coi thiết bị là đã bị xâm nhập hoàn toàn. Khi đó, việc chỉ gỡ bỏ package là không đủ. Các tổ chức nên thay đổi toàn bộ mật khẩu, thu hồi API key, kiểm tra nhật ký truy cập và tiến hành quét toàn diện hệ thống.
Ngoài ra, các doanh nghiệp cần triển khai quy trình kiểm soát phụ thuộc phần mềm chặt chẽ hơn, sử dụng các giải pháp Software Composition Analysis (SCA), kiểm tra chữ ký package, áp dụng xác thực đa yếu tố cho tài khoản npm và thường xuyên đánh giá bảo mật chuỗi cung ứng phần mềm.
Bên cạnh việc kiểm tra các tệp package.json và package-lock.json, doanh nghiệp cũng nên theo dõi các hoạt động bất thường trên máy trạm lập trình viên, đặc biệt là các kết nối mạng đáng ngờ hoặc các tiến trình được khởi chạy ngay sau khi cài đặt thư viện mới.
Nếu phát hiện đã cài đặt một trong các gói độc hại, cần coi thiết bị là đã bị xâm nhập hoàn toàn. Khi đó, việc chỉ gỡ bỏ package là không đủ. Các tổ chức nên thay đổi toàn bộ mật khẩu, thu hồi API key, kiểm tra nhật ký truy cập và tiến hành quét toàn diện hệ thống.
Ngoài ra, các doanh nghiệp cần triển khai quy trình kiểm soát phụ thuộc phần mềm chặt chẽ hơn, sử dụng các giải pháp Software Composition Analysis (SCA), kiểm tra chữ ký package, áp dụng xác thực đa yếu tố cho tài khoản npm và thường xuyên đánh giá bảo mật chuỗi cung ứng phần mềm.