An ninh mạng

Cảnh báo: IronWorm và biến thể Miasma tấn công chuỗi cung ứng npm

Hệ sinh thái npm đang đối mặt với làn sóng tấn công chuỗi cung ứng mới thông qua các gói phần mềm độc hại IronWorm và biến thể Miasma, nhắm vào thông tin xác thực của nhà phát triển và tự động lây...

Nguyen Hung
6 Tháng 6, 2026 2 Min Read
2 0

Hệ sinh thái npm vừa ghi nhận các cuộc tấn công chuỗi cung ứng phần mềm nghiêm trọng, nơi kẻ tấn công sử dụng hơn 50 gói phần mềm hợp pháp đã bị chỉnh sửa để phát tán mã độc đánh cắp thông tin (information stealer) và sâu máy tính tự lây lan.

Table Of Content

IronWorm: Mối đe dọa từ Rust

Theo các chuyên gia từ JFrog, mã độc mới có tên IronWorm được viết bằng ngôn ngữ Rust. Nó có khả năng thu thập mọi thông tin nhạy cảm trên máy tính của nhà phát triển, ẩn mình dưới dạng một eBPF kernel rootkit và liên lạc với máy chủ điều khiển thông qua mạng Tor. IronWorm nhắm vào 86 biến môi trường và dữ liệu từ các nền tảng phổ biến như OpenAI, Anthropic, AWS, Docker, Kubernetes và các ví tiền điện tử.

Điểm đáng chú ý là IronWorm có khả năng tự nhân bản bằng cách chiếm quyền điều khiển tài khoản npm (cụ thể là tài khoản ‘asteroiddao’) để đẩy các mã độc vào các kho lưu trữ GitHub. Nó còn thay thế các workflow của GitHub Actions để đánh cắp bí mật (secrets) mà không cần máy chủ C2 bên ngoài, đồng thời lợi dụng tính năng Trusted Publishing của npm để phát tán các phiên bản độc hại mới.

Biến thể Miasma và kỹ thuật ‘Phantom Gyp’

Song song đó, một chiến dịch khác đã làm ảnh hưởng đến 57 gói npm thông qua hơn 286 phiên bản độc hại để phát tán biến thể mới của sâu Miasma. Các nhà nghiên cứu từ StepSecurity đã phát hiện kỹ thuật mới gọi là ‘Phantom Gyp’, cho phép kẻ tấn công thực thi mã độc trong quá trình npm install bằng cách lạm dụng tệp binding.gyp, qua đó vượt qua hầu hết các cơ chế kiểm tra bảo mật thông thường.

Miasma không chỉ đánh cắp thông tin xác thực mà còn tiêm các tệp backdoor vào dự án, kích hoạt mỗi khi nhà phát triển mở dự án trong các IDE có hỗ trợ AI. Kẻ tấn công còn biến GitHub thành một máy chủ C2 thích ứng bằng cách sử dụng các commit chứa từ khóa đặc biệt để cập nhật mã độc theo thời gian thực.

Khuyến nghị bảo mật

Trước tình hình này, các nhà phát triển cần thực hiện ngay các biện pháp phòng ngừa:

  • Thay đổi toàn bộ thông tin xác thực (credentials) đã bị lộ.
  • Vô hiệu hóa các tập lệnh cài đặt (install scripts) và native rebuilds theo mặc định.
  • Sử dụng tính năng ghim gói (pinning) với các mã hash toàn vẹn (integrity hashes).
  • Thường xuyên kiểm tra các commit lạ trong kho lưu trữ GitHub của tổ chức.

Nguồn tham khảo: The Hacker News

Share Article

Nguyen Hung

No Comment! Be the first one.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Related Posts

Our site uses cookies. By using this site, you agree to the Privacy Policy and Terms of Use.

Accept