An ninh mạng

Cảnh báo: Các gói npm và Go độc hại lợi dụng VS Code để phát tán mã độc đánh cắp thông tin

Các nhà nghiên cứu bảo mật vừa phát hiện một chiến dịch tấn công nhắm vào lập trình viên thông qua các gói npm và Go bị chiếm quyền điều khiển, sử dụng tính năng tự động chạy tác vụ của VS Code để...

Nguyen Hung
29 Tháng 6, 2026 2 Min Read
3 0

Các chuyên gia an ninh mạng vừa phát hiện một chiến dịch tấn công tinh vi nhắm vào hệ sinh thái phần mềm, cụ thể là các gói thư viện trên npmGo. Những gói này đã bị kẻ tấn công chiếm quyền điều khiển nhằm phát tán một loại mã độc infostealer (đánh cắp thông tin) viết bằng Python trên các hệ điều hành Windows, Linux và macOS.

Table Of Content

Phương thức tấn công qua VS Code

Thay vì sử dụng các tập lệnh vòng đời (lifecycle scripts) thông thường vốn dễ bị các cơ chế bảo mật của npm chặn lại, kẻ tấn công đã chọn một hướng đi mới: ẩn mã độc bên trong các VS Code task. Cụ thể, mã độc được cấu hình để tự động kích hoạt ngay khi người dùng mở thư mục dự án trong VS Code hoặc Cursor.

Khi được kích hoạt, mã độc sẽ thực hiện các bước sau:

  • Truy xuất mã JavaScript đã được mã hóa từ dữ liệu giao dịch trên blockchain.
  • Kết nối với hạ tầng do kẻ tấn công kiểm soát.
  • Thiết lập một backdoor thông qua socket.io.
  • Cuối cùng là triển khai mã độc Python để đánh cắp dữ liệu.

Đáng chú ý, mã độc được ngụy trang dưới dạng một tệp font chữ (public/fonts/fa-solid-400.woff2) để tránh bị phát hiện. Chiến dịch này được cho là có liên quan đến nhóm tin tặc đứng sau chiến dịch “Fake Font” và “Contagious Interview”, vốn nhắm vào các kỹ sư phần mềm thông qua các quy trình tuyển dụng giả mạo.

Mức độ nguy hiểm của mã độc

Mã độc Python được triển khai có khả năng thu thập dữ liệu cực kỳ rộng, bao gồm:

  • Thông tin đăng nhập trình duyệt, ví tiền điện tử, và các trình quản lý mật khẩu.
  • Dữ liệu dành riêng cho lập trình viên như: thông tin Git, GitHub CLI, logs của GitHub Desktop, và cấu hình VS Code.
  • Dữ liệu từ các hệ thống lưu trữ đám mây như Dropbox, Google Drive, OneDrive, iCloud, v.v.

Sau khi thu thập, dữ liệu sẽ được nén thành file ZIP và gửi về máy chủ C2 (Command and Control) hoặc thông qua bot Telegram.

Phạm vi ảnh hưởng và khuyến nghị

Ngoài hai gói npm là html-to-gutenbergfetch-page-assets, các nhà nghiên cứu còn tìm thấy 16 gói Go khác bị nhiễm mã độc tương tự. Hầu hết các gói này là thư viện hợp pháp nhưng đã bị kẻ tấn công chèn thêm mã độc vào phiên bản mới nhất.

Khuyến nghị cho lập trình viên:

  • Gỡ bỏ ngay lập tức các gói thư viện nghi vấn nếu đã cài đặt.
  • Kiểm tra các tệp .vscode/tasks.json trong thư mục dự án để tìm kiếm các tác vụ tự động chạy bất thường.
  • Thực hiện thay đổi toàn bộ mật khẩu, API keys, token truy cập cloud, và các thông tin xác thực quan trọng khác đã lưu trên máy tính bị ảnh hưởng.

Nguồn tham khảo: The Hacker News

Share Article

Nguyen Hung

No Comment! Be the first one.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Related Posts

Our site uses cookies. By using this site, you agree to the Privacy Policy and Terms of Use.

Accept