An ninh mạng

Cảnh báo: IronWorm và biến thể Miasma tấn công chuỗi cung ứng npm

Hệ sinh thái npm đang đối mặt với làn sóng tấn công chuỗi cung ứng nghiêm trọng thông qua mã độc IronWorm và các biến thể mới của sâu Miasma, nhắm vào thông tin xác thực của nhà phát triển và môi...

Nguyen Hung
6 Tháng 6, 2026 3 Min Read
2 0

Hệ sinh thái npm vừa ghi nhận một loạt cuộc tấn công chuỗi cung ứng phần mềm tinh vi. Kẻ tấn công đã phát tán hơn 50 gói phần mềm độc hại, bao gồm các phiên bản bị thao túng của những thư viện hợp pháp, nhằm mục đích phân phối một loại mã độc đánh cắp thông tin (information stealer) dựa trên Rust và một loại sâu tự lan truyền.

Table Of Content

IronWorm: Mã độc tự sao chép nguy hiểm

Được các chuyên gia tại JFrog đặt tên là IronWorm, mã độc này không chỉ đánh cắp mọi thông tin nhạy cảm trên máy tính của nhà phát triển mà còn sử dụng eBPF kernel rootkit để ẩn mình, đồng thời giao tiếp với máy chủ điều khiển thông qua mạng Tor. Điểm đáng chú ý là IronWorm có khả năng tự lan truyền bằng cách sử dụng chính các thông tin xác thực vừa đánh cắp được, tương tự như cơ chế của sâu Shai-Hulud.

Mã độc này nhắm vào 86 biến môi trường và hàng loạt tệp tin chứa thông tin xác thực từ các dịch vụ như OpenAI, Anthropic, Google Gemini, AWS, Docker, Kubernetes và ví tiền điện tử. Đặc biệt, IronWorm còn có khả năng sửa đổi các workflow của GitHub Actions để thu thập bí mật (secrets) và tải chúng lên dưới dạng build artifact, giúp kẻ tấn công không cần duy trì máy chủ C2 bên ngoài.

Chiến dịch Miasma và kỹ thuật “Phantom Gyp”

Song song đó, Endor Labs và StepSecurity cũng phát hiện một chiến dịch tấn công khác nhắm vào 57 gói npm, phát tán biến thể mới của sâu Miasma. Điểm mới trong đợt tấn công này là kỹ thuật “Phantom Gyp”. Thay vì sử dụng các script cài đặt thông thường như preinstall hay postinstall, kẻ tấn công lạm dụng tệp binding.gyp chỉ 157 byte để thực thi mã độc ngay trong quá trình npm install, qua đó vượt qua hầu hết các cơ chế kiểm soát an ninh hiện có.

Biến thể Miasma mới này còn có khả năng tiêm các tệp backdoor vào kho lưu trữ dự án, kích hoạt mỗi khi nhà phát triển mở dự án trong các IDE có hỗ trợ AI. Mã độc này sử dụng GitHub làm nền tảng C2 thích ứng, biến các commit trên GitHub thành nơi chứa payload, khiến việc phát hiện ở cấp độ mạng trở nên vô cùng khó khăn do lưu lượng truy cập GitHub thường được tin tưởng và đưa vào danh sách trắng.

Khuyến nghị cho nhà phát triển

Các chuyên gia an ninh mạng khuyến cáo nhà phát triển cần thực hiện ngay các biện pháp phòng vệ:

  • Thực hiện xoay vòng (rotate) toàn bộ thông tin xác thực đã lưu trữ.
  • Tắt các script cài đặt tự động và tính năng biên dịch native (native rebuilds) theo mặc định.
  • Sử dụng integrity hashes để ghim (pin) các gói phần mềm, đảm bảo tính toàn vẹn.
  • Thường xuyên kiểm tra các commit lạ trong kho lưu trữ GitHub, đặc biệt là các commit liên quan đến các tổ chức hoặc tài khoản không xác định.

Nguồn tham khảo: The Hacker News

Share Article

Nguyen Hung

No Comment! Be the first one.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Related Posts

Our site uses cookies. By using this site, you agree to the Privacy Policy and Terms of Use.

Accept