An ninh mạng

Cảnh báo: Các gói npm giả mạo công cụ PostCSS phát tán mã độc RAT trên Windows

Các nhà nghiên cứu bảo mật vừa phát hiện một loạt gói npm độc hại giả danh công cụ PostCSS nhằm phát tán mã độc truy cập từ xa (RAT) trên hệ điều hành...

Nguyen Hung
23 Tháng 6, 2026 2 Min Read
2 0

Các chuyên gia an ninh mạng vừa cảnh báo về một chiến dịch tấn công chuỗi cung ứng nhắm vào hệ sinh thái npm. Kẻ tấn công đã đăng tải các gói thư viện giả mạo, lợi dụng tên gọi của các công cụ phổ biến như PostCSS để phát tán mã độc RAT (Remote Access Trojan) nhắm vào người dùng Windows.

Table Of Content

Chi tiết về các gói npm độc hại

Danh sách các gói bị phát hiện bao gồm: aes-decode-runner-pro, postcss-minify-selectorpostcss-minify-selector-parser. Tất cả đều được đăng tải bởi người dùng có tên “abdrizak”. Đáng chú ý, gói postcss-minify-selector-parser cố tình đặt tên gần giống với postcss-selector-parser – một thư viện npm cực kỳ phổ biến với hơn 127 triệu lượt tải xuống hàng tuần.

Cơ chế lây nhiễm đa tầng

Khi được cài đặt, các gói này sẽ thực thi một đoạn script JavaScript để tạo và chạy file settings.ps1 (PowerShell). Script này tiếp tục tải xuống một tệp ZIP từ máy chủ bên ngoài. Bên trong tệp ZIP chứa một môi trường Python hoàn chỉnh cùng các module được biên dịch bằng Nuitka. Mã độc sau đó thực hiện các hành vi nguy hiểm như:

  • Thu thập thông tin hệ thống.
  • Đánh cắp thông tin đăng nhập và dữ liệu từ trình duyệt Google Chrome.
  • Thực thi các lệnh shell từ xa.
  • Gửi/nhận dữ liệu với máy chủ C2 (Command and Control).

Các module Python được chia nhỏ chức năng, bao gồm module chuyên biệt để vượt qua cơ chế bảo vệ App-Bound Encryption (ABE) của Chrome nhằm đánh cắp thông tin xác thực.

Làn sóng tấn công chuỗi cung ứng rộng khắp

Ngoài chiến dịch nhắm vào PostCSS, các nhà nghiên cứu còn ghi nhận nhiều vụ tấn công khác trong hệ sinh thái npm và TypeScript, bao gồm:

  • Gói apintergrationpost phát tán Linux RAT với khả năng tạo rootkit.
  • Gói @withgoogle/stitch-sdk giả mạo công cụ của Google để đánh cắp thông tin từ nhiều nguồn như GitHub CLI, SSH keys, Docker config và npm config.
  • Một cụm 5 gói liên kết với nhau nhằm thực thi file nhị phân độc hại ngay trong quá trình cài đặt npm.

Khuyến nghị cho nhà phát triển

Các chuyên gia từ JFrog và SafeDep nhấn mạnh rằng các nhà phát triển cần cảnh giác cao độ với các phụ thuộc (dependencies) có tên gọi tương tự thư viện gốc. Nếu bạn đã cài đặt các gói nêu trên, hãy thực hiện ngay các bước sau:

  • Gỡ bỏ hoàn toàn các gói độc hại khỏi dự án.
  • Xóa sạch các tệp tin hoặc artifact do mã độc tạo ra.
  • Thay đổi toàn bộ thông tin đăng nhập (credentials) trên các máy tính đã bị ảnh hưởng.

Sự gia tăng của các cuộc tấn công tinh vi, bao gồm cả việc sử dụng hạ tầng blockchain làm kênh trung chuyển lệnh C2, cho thấy các mối đe dọa chuỗi cung ứng đang ngày càng trở nên phức tạp và khó phát hiện hơn.

Nguồn tham khảo: The Hacker News

Share Article

Nguyen Hung

No Comment! Be the first one.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Related Posts

Our site uses cookies. By using this site, you agree to the Privacy Policy and Terms of Use.

Accept