Cảnh báo: Gói npm jscrambler 8.14.0 bị chiếm quyền, phát tán mã độc đánh cắp thông tin
Phiên bản 8.14.0 của thư viện jscrambler trên npm đã bị chèn mã độc, cho phép cài đặt một công cụ đánh cắp thông tin (infostealer) viết bằng Rust ngay khi người dùng thực hiện cài...
Cộng đồng phát triển phần mềm vừa ghi nhận một cuộc tấn công chuỗi cung ứng nghiêm trọng nhắm vào thư viện jscrambler trên npm. Cụ thể, phiên bản 8.14.0 được phát hành vào ngày 11/7/2026 chứa một đoạn mã độc hại trong hook preinstall, tự động thực thi và cài đặt mã độc đánh cắp thông tin (infostealer) trên các hệ điều hành Windows, macOS và Linux.
Cơ chế tấn công tinh vi
Đáng chú ý, mã độc này không yêu cầu người dùng phải gọi bất kỳ lệnh CLI nào hay import thư viện; chỉ cần thực hiện lệnh cài đặt gói là payload đã được kích hoạt. Các phân tích từ Socket và StepSecurity cho thấy mã độc này không tồn tại trong mã nguồn công khai trên GitHub của jscrambler, chứng tỏ tài khoản maintainer hoặc quy trình build của dự án đã bị xâm nhập.
Mã độc là một ứng dụng viết bằng Rust, có khả năng thu thập dữ liệu nhạy cảm bao gồm:
- Thông tin đám mây: Credentials của AWS, Azure, Google Cloud và các endpoint metadata của CI runner.
- Tài sản số: Ví tiền điện tử, seed phrases từ MetaMask, Phantom, Exodus.
- Dữ liệu ứng dụng: Mật khẩu, cookie trình duyệt, phiên đăng nhập Discord, Slack, Telegram, Steam.
- Công cụ lập trình: File cấu hình của Claude Desktop, Cursor, Windsurf, VS Code và Zed, nơi chứa các API key quan trọng.
Trên Linux, mã độc còn có khả năng nạp chương trình eBPF vào kernel để duy trì sự hiện diện bền vững. Trên Windows và macOS, nó thiết lập các tác vụ định kỳ (scheduled task) hoặc LaunchAgent để tự động khởi chạy sau khi reboot.
Khuyến nghị xử lý
Mặc dù phiên bản 8.15.0 đã được phát hành để thay thế, phiên bản 8.14.0 vẫn tồn tại trên npm. Nếu hệ thống của bạn đã từng cài đặt phiên bản này, hãy thực hiện các bước sau ngay lập tức:
- Loại bỏ 8.14.0: Cập nhật lên 8.15.0 hoặc quay lại phiên bản 8.13.0. Xóa sạch [email protected] khỏi lockfile và cache.
- Kiểm tra dấu vết: Rà soát log của trình quản lý gói và các tiến trình con trong thư mục temp. Kiểm tra Task Scheduler (Windows) hoặc LaunchAgents (macOS) để tìm các file lạ.
- Xử lý sự cố: Nếu nghi ngờ máy tính đã bị nhiễm, hãy coi như toàn bộ các secret (API key, token, mật khẩu) đã bị lộ. Cần thực hiện xoay vòng (rotate) toàn bộ các credential, token GitHub/npm, và di chuyển tài sản tiền điện tử sang ví mới.
- Chặn kết nối: Chặn các IP C2 (37.27.122.124 và 57.128.246.79) trong tường lửa của hệ thống.
Sự việc này một lần nữa gióng lên hồi chuông cảnh báo về rủi ro từ các script tự động chạy trong quá trình cài đặt gói phần mềm, đặc biệt là khi npm 12 vừa mới thay đổi chính sách mặc định để hạn chế các script này.
Nguồn tham khảo: The Hacker News



No Comment! Be the first one.