An ninh mạng

Cảnh báo tấn công chuỗi cung ứng phần mềm: IronWorm và biến thể Miasma lây lan trên npm

Hệ sinh thái npm đang đối mặt với làn sóng tấn công chuỗi cung ứng nghiêm trọng thông qua các gói phần mềm độc hại, bao gồm mã độc đánh cắp thông tin IronWorm và biến thể sâu máy tính...

Nguyen Hung
6 Tháng 6, 2026 3 Min Read
1 0

Hệ sinh thái npm vừa ghi nhận nhiều cuộc tấn công chuỗi cung ứng phần mềm tinh vi. Các đối tượng tấn công đã phát tán hơn 50 gói phần mềm hợp pháp bị chỉnh sửa, chứa mã độc đánh cắp thông tin (information stealer) dựa trên ngôn ngữ Rust và một loại sâu máy tính có khả năng tự lan truyền.

Table Of Content

IronWorm: Mã độc tự nhân bản

Theo các chuyên gia từ JFrog, mã độc mới có tên gọi IronWorm hoạt động như một vũ khí chuỗi cung ứng. Nó có khả năng quét toàn bộ các bí mật (secrets) trên máy tính của lập trình viên, ẩn mình dưới dạng rootkit nhân eBPF và giao tiếp với máy chủ điều khiển thông qua mạng Tor. IronWorm nhắm mục tiêu vào 86 biến môi trường và hàng loạt tệp tin chứa thông tin xác thực từ các nền tảng như OpenAI, Anthropic, Google Gemini, AWS, Docker, Kubernetes và ví tiền điện tử.

Điểm đáng chú ý là IronWorm có khả năng tự lan truyền bằng cách chiếm đoạt tài khoản npm (cụ thể là tài khoản “asteroiddao”) để đẩy các commit độc hại lên GitHub. Mã độc này còn có thể thay thế các workflow của GitHub Actions để đánh cắp thông tin mà không cần máy chủ C2 bên ngoài, đồng thời lạm dụng quy trình Trusted Publishing của npm để phát tán các phiên bản nhiễm độc.

Biến thể sâu Miasma và kỹ thuật “Phantom Gyp”

Song song với IronWorm, một chiến dịch khác đã làm lây nhiễm 57 gói npm thông qua hơn 286 phiên bản độc hại để phát tán biến thể mới của sâu Miasma. Các nhà nghiên cứu từ StepSecurity cảnh báo về kỹ thuật mới có tên “Phantom Gyp”. Thay vì sử dụng các script cài đặt thông thường, kẻ tấn công khai thác tệp binding.gyp chỉ 157 byte để thực thi mã độc ngay trong quá trình npm install, giúp vượt qua hầu hết các cơ chế kiểm tra bảo mật hiện có.

Mã độc này sử dụng môi trường thực thi Bun để tải xuống các công cụ đánh cắp thông tin, nhắm vào các cấu hình trợ lý lập trình AI. Nó thậm chí còn chèn các tệp backdoor vào dự án, cho phép mã độc thực thi mỗi khi lập trình viên mở dự án trong môi trường IDE.

Khuyến nghị bảo mật

Các chuyên gia an ninh mạng khuyến cáo lập trình viên và doanh nghiệp cần thực hiện ngay các bước sau:

  • Thay đổi toàn bộ thông tin xác thực (credentials) nếu nghi ngờ đã cài đặt các gói bị ảnh hưởng.
  • Vô hiệu hóa các script cài đặt tự động và tính năng native rebuild theo mặc định.
  • Sử dụng tính năng ghim gói (pinning) với các mã hash toàn vẹn (integrity hashes).
  • Giám sát chặt chẽ các commit bất thường trên GitHub, đặc biệt là các commit liên quan đến các tổ chức hoặc tài khoản không xác định.

Các cuộc tấn công này cho thấy GitHub và các nền tảng lưu trữ mã nguồn đang bị biến thành các máy chủ C2 thích ứng, khiến việc phát hiện ở cấp độ mạng trở nên vô cùng khó khăn vì lưu lượng truy cập vào các nền tảng này thường được tin tưởng mặc định.

Nguồn tham khảo: The Hacker News

Share Article

Nguyen Hung

No Comment! Be the first one.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Related Posts

Our site uses cookies. By using this site, you agree to the Privacy Policy and Terms of Use.

Accept