An ninh mạng

Typosquatting không còn là vấn đề của người dùng, mà là lỗ hổng chuỗi cung ứng

Typosquatting đã tiến hóa từ việc lừa đảo người dùng sang tấn công trực tiếp vào chuỗi cung ứng phần mềm. Với sự hỗ trợ của AI, các đoạn mã độc được nhúng vào những script bên thứ ba đáng tin cậy,...

Nguyen Hung
28 Tháng 5, 2026 3 Min Read
2 0

Trong kỷ nguyên AI, khái niệm typosquatting (đăng ký tên miền gây nhầm lẫn) đã không còn chỉ nhắm vào sự bất cẩn của người dùng. Thay vào đó, nó đã trở thành một đòn tấn công tinh vi vào chuỗi cung ứng phần mềm, nơi các đoạn mã độc được nhúng trực tiếp vào những thư viện hoặc script bên thứ ba mà hệ thống của bạn vốn đã tin tưởng.

Table Of Content

Khi sự tin tưởng trở thành điểm yếu

Các cuộc tấn công hiện đại không còn cần người dùng phải nhấn vào link phishing hay mắc lỗi gõ phím. Thay vào đó, kẻ tấn công khai thác sự tin tưởng sẵn có trong hệ sinh thái phát triển phần mềm. Bằng cách chiếm quyền kiểm soát tài khoản của nhà phát triển hoặc thông qua các gói thư viện bị nhiễm độc (như các vụ tấn công vào npm), mã độc được phân phối chính thức qua các kênh hợp pháp.

Vụ tấn công vào tiện ích mở rộng Trust Wallet trên Chrome vào cuối năm 2025 là minh chứng rõ ràng nhất. Kẻ tấn công đã phát tán một phiên bản trojan hóa thông qua cửa hàng ứng dụng chính thức. Mã độc hoạt động hoàn toàn bên trong trình duyệt, đánh cắp dữ liệu nhạy cảm mà không hề kích hoạt bất kỳ cảnh báo nào từ tường lửa (firewall), WAF hay EDR. Lý do rất đơn giản: các công cụ bảo mật này không được thiết kế để giám sát hành vi bên trong phiên làm việc của trình duyệt.

Tại sao các giải pháp bảo mật hiện tại thất bại?

Các giải pháp bảo mật truyền thống như CSP (Content Security Policy) chỉ đóng vai trò như một “danh sách khách mời”. Khi một script đã nằm trong danh sách cho phép, CSP sẽ không kiểm soát được hành vi thực tế của nó. Nếu script đó bị sửa đổi để đánh cắp thông tin từ các form thanh toán, hệ thống vẫn coi đó là một kết nối hợp lệ.

Sự bùng nổ của AI đã thay đổi hoàn toàn kinh tế học của các cuộc tấn công này:

  • Tốc độ: Các mô hình ngôn ngữ lớn (LLM) có thể tạo ra hàng ngàn biến thể tên miền trong vài phút.
  • Quy mô: Số lượng các gói phần mềm độc hại được tải lên các kho lưu trữ mã nguồn mở đã tăng 156% trong năm qua.
  • Sự tinh vi: Mã độc được thiết kế để “ngủ đông” trong quá trình quét tự động và chỉ kích hoạt khi thỏa mãn các điều kiện runtime cụ thể.

Yêu cầu cấp thiết về giám sát hành vi runtime

Để đối phó với mối đe dọa này, doanh nghiệp cần chuyển dịch từ kiểm soát tĩnh sang giám sát hành vi runtime. Việc phát hiện không còn dừng lại ở việc quét mã nguồn, mà phải tập trung vào những gì script thực sự làm sau khi thực thi:

  • Exfiltration: Phát hiện các script đọc dữ liệu từ form và gửi về các tên miền lạ.
  • Dynamic domain resolution: Theo dõi các script gọi đến những tên miền mới đăng ký hoặc có hành vi phân giải bất thường.
  • Behavioral drift: Nhận diện sự thay đổi hành vi của các script vốn được coi là an toàn.

Việc giải mã hành vi tại runtime—thông qua môi trường được kiểm soát—là cách duy nhất để nhìn thấu các lớp mã độc đã được làm rối (obfuscated) một cách tinh vi. Các đội ngũ bảo mật cần ưu tiên rà soát các trang web xử lý dữ liệu nhạy cảm như thanh toán, đăng nhập và thiết lập các baseline hành vi cho mọi script của bên thứ ba đang được sử dụng.

Nguồn tham khảo: The Hacker News

Share Article

Nguyen Hung

No Comment! Be the first one.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Related Posts

Our site uses cookies. By using this site, you agree to the Privacy Policy and Terms of Use.

Accept