Cộng đồng phát triển phần mềm và người dùng tiền điện tử đang đứng trước nguy cơ cao sau khi hai bản phát hành npm của Axios – thư viện HTTP client JavaScript cực kỳ phổ biến – bị phát hiện đã bị tấn công chuỗi cung ứng. Các chuyên gia an ninh mạng đang kêu gọi hành động khẩn cấp: xoay vòng tất cả các khóa bảo mật và coi các hệ thống bị ảnh hưởng là đã bị xâm nhập hoàn toàn.
Cuộc tấn công tinh vi này được phát hiện đầu tiên bởi công ty an ninh mạng Socket, khi họ báo cáo rằng các phiên bản `axios@1.14.1` và `axios@0.30.4` đã bị sửa đổi để chèn thêm một phần mềm độc hại có tên `plain-crypto-js@4.2.1` làm phụ thuộc. Điều đáng báo động là phần mềm độc hại này tự động kích hoạt trong quá trình cài đặt thông qua một script post-install, cho phép kẻ tấn công thực thi mã trên các hệ thống mục tiêu mà không cần bất kỳ tương tác nào từ người dùng.
Theo phân tích từ công ty bảo mật OX Security, đoạn mã bị thay đổi có khả năng cung cấp cho kẻ tấn công quyền truy cập từ xa vào các thiết bị bị nhiễm. Hậu quả là vô cùng nghiêm trọng: chúng có thể đánh cắp dữ liệu nhạy cảm bao gồm thông tin đăng nhập, khóa API, và đặc biệt là thông tin ví tiền điện tử – một mối đe dọa trực tiếp đến tài sản số của người dùng. Sự việc này một lần nữa khẳng định mức độ nguy hiểm của một thành phần mã nguồn mở bị xâm phạm, có thể gây ra hiệu ứng domino trên hàng ngàn ứng dụng phụ thuộc, không chỉ đe dọa các nhà phát triển mà còn cả các nền tảng và người dùng kết nối với hệ thống đó.
OX Security khuyến cáo mạnh mẽ rằng bất kỳ nhà phát triển nào đã cài đặt `axios@1.14.1` hoặc `axios@0.30.4` cần phải xem hệ thống của mình như đã bị xâm phạm hoàn toàn. Họ phải ngay lập tức tiến hành xoay vòng tất cả các thông tin đăng nhập, bao gồm khóa API và token phiên. Socket cũng khuyên các nhà phát triển nên rà soát kỹ lưỡng các dự án và tệp phụ thuộc để tìm kiếm các phiên bản Axios bị ảnh hưởng cùng gói `plain-crypto-js@4.2.1` liên quan, sau đó gỡ bỏ hoặc khôi phục về phiên bản an toàn ngay lập tức.
Những sự cố trước đây trong không gian tiền điện tử đã chỉ rõ cách thức các vụ tấn công chuỗi cung ứng có thể leo thang từ việc đánh cắp thông tin nhà phát triển đến mất mát tài sản ví của người dùng. Điển hình là vào ngày 3 tháng 1, nhà điều tra onchain ZachXBT đã báo cáo rằng “hàng trăm” ví trên các mạng lưới tương thích với Máy ảo Ethereum (EVM) đã bị rút cạn trong một cuộc tấn công quy mô lớn. Vladimir S., một nhà nghiên cứu an ninh mạng, cho rằng vụ việc này có thể liên quan đến một vụ vi phạm bảo mật Trust Wallet vào tháng 12, gây thiệt hại khoảng 7 triệu USD trên hơn 2.500 ví. Trust Wallet sau đó đã xác nhận rằng vụ vi phạm có thể bắt nguồn từ một cuộc tấn công chuỗi cung ứng liên quan đến các gói npm được sử dụng trong quy trình phát triển của họ.
Tuyên bố miễn trừ trách nhiệm: Cointelegraph cam kết cung cấp thông tin chính xác và kịp thời. Bài viết này được tạo ra theo Chính sách Biên tập của Cointelegraph. Độc giả nên tự mình xác minh thông tin một cách độc lập.
