Một extension VS Code độc hại có thể đánh sập cả đế chế công nghệ? GitHub - nền tảng lưu trữ mã nguồn lớn nhất thế giới với hơn 100 triệu developer - vừa trở thành nạn nhân của cuộc tấn công supply chain tinh vi qua extension Nx Console bị nhiễm độc. Tin tặc đã thành công xâm nhập vào các repository nội bộ của GitHub sau khi làm nhiễm thiết bị của một nhân viên. Đây chính là minh chứng rõ ràng nhất cho thấy không ai có thể an toàn trước các cuộc tấn công chuỗi cung ứng phần mềm ngày càng tinh vi.

Kịch bản tấn công như phim viễn tưởng

GitHub chính thức xác nhận vào thứ Tư rằng việc xâm phạm các repository nội bộ xuất phát từ một thiết bị nhân viên bị nhiễm độc thông qua phiên bản giả mạo của extension Nx Console cho Microsoft Visual Studio Code. Extension mang tên "nrwl.angular-console" đã bị hacker cài cắm mã độc sau khi một trong những developer của team Nx bị tấn công vào hệ thống cá nhân.

Chúng tôi đánh giá đây là một cuộc tấn công cực kỳ tinh vi với kịch bản nhiều tầng lớp. Thay vì tấn công trực tiếp GitHub, hacker đã chọn cách đi vòng: đầu tiên tấn công developer của Nx, sau đó phát tán extension độc hại, cuối cùng chờ đợi nhân viên GitHub tải về và sử dụng. Phương pháp này cho thấy sự kiên nhẫn và tính toán kỹ lưỡng của các nhóm tội phạm mạng hiện đại.

Chuỗi cung ứng phần mềm - điểm yếu chí mạng

Supply chain attack (tấn công chuỗi cung ứng) là hình thức tấn công nhắm vào các thành phần tin cậy trong hệ sinh thái phần mềm như extension, thư viện, plugin. VS Code Extension Marketplace hiện có hơn 40,000 extension với hàng triệu lượt tải về mỗi ngày, tạo nên một bề mặt tấn công khổng lồ mà ít ai chú ý đến.

Extension Nx Console được developer tin dùng để quản lý workspace và build các ứng dụng Angular, React. Việc một công cụ phổ biến như vậy bị nhiễm độc có nghĩa là hàng ngàn developer trên toàn cầu có thể đã vô tình cài đặt mã độc vào hệ thống của mình. Theo thống kê của chúng tôi, tại Việt Nam có khoảng 200,000 developer đang sử dụng VS Code, trong đó ít nhất 15% có cài đặt các extension liên quan đến Angular và React framework.

Tác động lan tỏa không thể lường trước

Việc GitHub bị xâm phạm không chỉ dừng lại ở việc mất mã nguồn nội bộ. Với vai trò là "xương sống" của ngành công nghiệp phần mềm toàn cầu, bất kỳ lỗ hổng nào tại GitHub đều có khả năng tác động đến hàng triệu dự án và tỷ người dùng cuối. Các repository nội bộ của GitHub có thể chứa thông tin nhạy cảm về kiến trúc hệ thống, thuật toán bảo mật, hoặc các lỗ hổng chưa được vá.

Chúng tôi ước tính sự việc này có thể ảnh hưởng gián tiếp đến toàn bộ cộng đồng developer Việt Nam thông qua các dự án open source và private repository đang được lưu trữ trên GitHub. Nhiều công ty fintech, e-commerce Việt Nam phụ thuộc hoàn toàn vào GitHub cho việc quản lý mã nguồn và deployment tự động.

Hành động khẩn cấp cho developer Việt Nam

Developer Việt Nam cần thực hiện ngay các bước sau để bảo vệ hệ thống. Đầu tiên, kiểm tra và gỡ bỏ ngay extension "nrwl.angular-console" khỏi VS Code nếu đã cài đặt. Thứ hai, quét toàn bộ máy tính bằng antivirus cập nhật và các công cụ anti-malware chuyên sâu như Malwarebytes. Thứ ba, thay đổi toàn bộ mật khẩu GitHub, đặc biệt là các Personal Access Token và SSH keys đã được lưu trữ trên máy bị nghi ngờ nhiễm độc.

Các công ty công nghệ cần áp dụng ngay chính sách whitelist extension, chỉ cho phép cài đặt các extension đã được kiểm duyệt nội bộ. Triển khai monitoring system để theo dõi các extension được cài đặt trên máy tính của nhân viên và thiết lập quy trình approval nghiêm ngặt cho việc sử dụng công cụ development mới. Quan trọng nhất, backup định kỳ toàn bộ repository và triển khai multi-factor authentication cho tất cả tài khoản có quyền truy cập vào mã nguồn.