1,1 triệu lượt download mỗi tuần - con số này đủ để hiểu vì sao package echarts-for-react trở thành 'mồi ngon' cho hacker. Các chuyên gia an ninh mạng vừa phát hiện chiến dịch tấn công supply chain mới mang tên Mini Shai-Hulud đang nhắm vào hệ sinh thái @antv trên npm. Điều đáng lo ngại nhất: kẻ tấn công đã thành công chiếm quyền kiểm soát tài khoản maintainer để phát tán mã độc 'hợp pháp'. Chúng tôi cho rằng đây là một trong những cuộc tấn công supply chain nghiêm trọng nhất năm 2024 nhắm vào cộng đồng developer châu Á.

Khi 'người trong cuộc' trở thành kẻ phản bội

Tài khoản maintainer 'atool' - chủ sở hữu của hàng loạt npm packages được tin dùng - đã bị xâm phạm hoàn toàn. Package echarts-for-react, một wrapper React cho thư viện Apache ECharts cực kỳ phổ biến tại Việt Nam, là mục tiêu chính của cuộc tấn công này. Kẻ tấn công đã lợi dụng quyền truy cập hợp pháp để đẩy các phiên bản chứa mã độc lên npm registry mà không gây nghi ngờ.

Supply chain attack (tấn công chuỗi cung ứng phần mềm) là phương thức mà hacker không tấn công trực tiếp vào mục tiêu, mà thay vào đó nhiễm độc các thành phần phụ thuộc mà mục tiêu tin tưởng sử dụng. Chiến thuật này đặc biệt hiệu quả vì developer thường mặc định tin tưởng các package từ maintainer uy tín. Theo quan sát của chúng tôi, xu hướng tấn công supply chain đang gia tăng mạnh ở khu vực Đông Nam Á, với Việt Nam là một trong những mục tiêu hàng đầu.

Giải mã 'vũ khí' Mini Shai-Hulud

Tên gọi Mini Shai-Hulud bắt nguồn từ tiểu thuyết khoa học viễn tưởng Dune, ám chỉ những 'con sâu' nhỏ nhưng cực kỳ nguy hiểm. Chiến dịch này hoạt động theo mô hình nhiều giai đoạn: đầu tiên chiếm quyền kiểm soát tài khoản maintainer, sau đó inject mã độc vào các package phổ biến thông qua update 'vô hại'. Mã độc được thiết kế tinh vi, chỉ kích hoạt trong điều kiện cụ thể để tránh bị phát hiện bởi automated security scan.

Điểm đáng chú ý là hacker đã chọn thời điểm tấn công vô cùng khéo léo - đúng lúc nhiều doanh nghiệp Việt Nam đang trong giai đoạn digital transformation và gia tăng sử dụng các framework JavaScript hiện đại. Echarts-for-react được sử dụng rộng rãi trong các dashboard, báo cáo và ứng dụng analytics tại hầu hết các công ty fintech, e-commerce hàng đầu Việt Nam. Chúng tôi đánh giá đây không phải là cuộc tấn công ngẫu nhiên mà có sự tính toán kỹ lưỡng về mục tiêu.

Thảm họa âm thầm lan rộng

Con số 1,1 triệu lượt download hàng tuần chỉ là phần nổi của tảng băng chìm. Nếu tính cả các package phụ thuộc gián tiếp và các dự án private sử dụng echarts-for-react, số lượng ứng dụng bị ảnh hưởng có thể lên đến hàng chục triệu. Đặc biệt nghiêm trọng là nhiều ứng dụng banking, e-wallet và government portal tại Việt Nam đều sử dụng thư viện này để hiển thị biểu đồ và dashboard quan trọng.

Theo thống kê từ npm trends, Việt Nam đứng thứ 4 về lượng download các package thuộc hệ sinh thái @antv, chỉ sau Trung Quốc, Mỹ và Ấn Độ. Điều này có nghĩa hàng nghìn doanh nghiệp và developer Việt Nam đang trong tình trạng 'nguy hiểm tiềm ẩn' mà chưa hề biết. Mã độc có thể đã âm thầm thu thập thông tin nhạy cảm, tạo backdoor hoặc chuẩn bị cho các cuộc tấn công quy mô lớn hơn.

Phương án cứu cánh khẩn cấp

Developer Việt Nam cần thực hiện ngay các bước sau: đầu tiên, kiểm tra file package.json và yarn.lock/package-lock.json để xác định có đang sử dụng echarts-for-react hay không. Nếu có, hãy pin version về phiên bản an toàn trước khi bị compromise và tuyệt đối không update lên version mới nhất cho đến khi có thông báo chính thức từ maintainer hợp pháp. Sử dụng lệnh 'npm audit' và 'yarn audit' để scan toàn bộ dependency tree.

Chúng tôi khuyến cáo các CTO và technical lead tại các công ty Việt Nam nên thiết lập quy trình security review bắt buộc cho mọi dependency update, đặc biệt với các package có lượng download cao. Implement private npm registry để kiểm soát chặt chẽ các package được phép sử dụng trong dự án. Cuối cùng, backup ngay code và database quan trọng, đồng thời monitor bất thường trong system log và network traffic để phát hiện sớm dấu hiệu bị xâm nhập.