Hơn 2,2 triệu lập trình viên trên toàn cầu vừa rơi vào tầm ngắm của tin tặc khi một trong những extension phổ biến nhất của Visual Studio Code bị chiếm quyền kiểm soát hoàn toàn. Extension Nx Console (phiên bản 18.95.0) - công cụ giao diện người dùng được tin dùng cho các code editor như VS Code, Cursor và JetBrains - đã bị cài cắm mã độc nhằm đánh cắp thông tin xác thực của developer. Chúng tôi đánh giá đây là một trong những cuộc tấn công supply chain (chuỗi cung ứng phần mềm) nghiêm trọng nhất trong năm 2024, với quy mô tác động lên tới hàng triệu người dùng.

Kẻ tấn công đã thâm nhập như thế nào?

Các chuyên gia an ninh mạng đã phát hiện extension rwl.angular-console phiên bản 18.95.0 chứa mã độc được các tin tặc cài cắm sau khi chiếm quyền kiểm soát tài khoản nhà phát triển. Supply chain attack (tấn công chuỗi cung ứng) là phương thức tấn công tinh vi, trong đó hacker không trực tiếp tấn công mục tiêu mà xâm nhập vào các thành phần trung gian mà mục tiêu tin tưởng. Trong trường hợp này, thay vì tấn công trực tiếp từng máy tính của lập trình viên, tin tặc đã chiếm quyền kiểm soát extension được hàng triệu người tin dùng.

Microsoft Visual Studio Code Marketplace - kho ứng dụng chính thức của VS Code - đã trở thành bàn đạp hoàn hảo cho cuộc tấn công này. Nx Console không chỉ là một extension thông thường mà còn là công cụ thiết yếu trong quy trình phát triển ứng dụng Angular, React và Node.js. Điều này khiến lập trình viên từ các doanh nghiệp lớn đến startup đều có thể đã cài đặt phiên bản nhiễm độc này mà không hề hay biết.

Mã độc credential stealer hoạt động ra sao?

Credential stealer (phần mềm đánh cắp thông tin xác thực) được cài cắm trong extension này hoạt động âm thầm ngay sau khi được cài đặt. Mã độc sẽ quét toàn bộ hệ thống để tìm kiếm các file chứa thông tin nhạy cảm như SSH keys, API tokens, database credentials và các thông tin xác thực khác mà lập trình viên thường lưu trữ trong môi trường phát triển. Đặc biệt nguy hiểm, nó còn có khả năng truy cập vào các biến môi trường (environment variables) nơi thường chứa các khóa bảo mật quan trọng.

Chúng tôi phân tích cho thấy loại mã độc này không chỉ đơn thuần đánh cắp mật khẩu mà còn có thể thu thập toàn bộ session tokens, OAuth credentials và thậm chí là private keys được sử dụng để ký code. Thông tin bị đánh cắp sau đó sẽ được gửi về các máy chủ do tin tặc kiểm soát, tạo điều kiện cho các cuộc tấn công tiếp theo vào hạ tầng công ty hoặc các dự án mã nguồn mở quan trọng.

Tác động lan tỏa đến cộng đồng developer Việt Nam

Với hơn 2,2 triệu lượt cài đặt toàn cầu, chúng tôi ước tính có ít nhất hàng chục nghìn lập trình viên Việt Nam có thể đã bị ảnh hưởng bởi sự cố này. Việt Nam hiện có khoảng 500.000 lập trình viên, trong đó phần lớn sử dụng VS Code làm IDE chính. Các công ty outsourcing, fintech và e-commerce tại Việt Nam - nơi thường xuyên sử dụng Angular và React - có nguy cơ cao nhất bị tác động.

Hậu quả có thể kéo dài hàng tháng sau khi extension độc hại được gỡ bỏ. Tin tặc đã có thời gian thu thập thông tin xác thực từ hàng triệu máy tính, tạo ra một kho dữ liệu khổng lồ có thể được sử dụng để tấn công các doanh nghiệp và tổ chức trong tương lai. Đặc biệt, các startup công nghệ Việt Nam với nguồn lực an ninh mạng hạn chế sẽ là mục tiêu dễ dàng nếu thông tin của họ đã bị rò rỉ.

Biện pháp khắc phục và bảo vệ tức thì

Lập trình viên cần thực hiện ngay các bước sau để giảm thiểu rủi ro: Gỡ cài đặt hoàn toàn extension Nx Console và cài đặt lại phiên bản an toàn mới nhất từ nhà phát triển chính thức. Thay đổi tất cả mật khẩu, API keys và access tokens đã được lưu trữ hoặc sử dụng trên máy tính bị ảnh hưởng. Quét toàn bộ hệ thống bằng antivirus và anti-malware để đảm bảo không còn mã độc tồn tại.

Các doanh nghiệp Việt Nam cần rà soát lại chính sách quản lý extension và triển khai giải pháp giám sát bảo mật cho môi trường phát triển. Chúng tôi khuyến nghị thiết lập quy trình kiểm duyệt nghiêm ngặt trước khi cho phép nhân viên cài đặt extension từ bên thứ ba. Đồng thời, cần xây dựng hệ thống backup định kỳ và phân quyền truy cập hạn chế để giảm thiểu tác động khi xảy ra sự cố tương tự trong tương lai.