3.800 kho mã nguồn nội bộ của GitHub - gã khổng lồ lưu trữ code lớn nhất thế giới - đã bị hacker xâm nhập thành công. Nguyên nhân? Một extension VS Code tưởng chừng vô hại có tên Nx Console đã được cài đặt backdoor tinh vi. Điều đáng lo ngại hơn là đây chỉ là một mắt xích trong chuỗi tấn công supply-chain phức tạp nhắm vào hệ sinh thái JavaScript. GitHub mới đây xác nhận sự việc và tiết lộ rằng cuộc tấn công bắt nguồn từ vụ compromise thư viện TanStack npm tuần trước.

Khi "kẻ gác cổng" cũng bị đột nhập

GitHub - nơi lưu trữ hàng triệu dự án mã nguồn mở quan trọng nhất thế giới - giờ đây trở thành nạn nhân của chính những lỗ hổng mà họ giúp các developer khắc phục hàng ngày. Theo thông tin chúng tôi thu thập được, hacker đã lợi dụng phiên bản độc hại của Nx Console - một extension phổ biến trên VS Code với hơn 2.7 triệu lượt cài đặt. Extension này thường được các developer sử dụng để quản lý workspace và tối ưu hóa workflow phát triển ứng dụng.

Chúng tôi cho rằng vụ việc này không chỉ là một cuộc tấn công đơn lẻ mà là một chiến dịch có tổ chức nhắm vào chuỗi cung ứng phần mềm (supply-chain). Nx Console bị nhiễm độc thông qua dependency từ thư viện TanStack npm, tạo nên một chuỗi lây nhiễm từ thư viện cơ sở đến extension, rồi đến hệ thống nội bộ của GitHub. Đây chính là điểm đáng sợ nhất của tấn công supply-chain - một lỗ hổng nhỏ có thể lan truyền và gây thiệt hại khôn lường.

Giải mã cơ chế tấn công chuỗi cung ứng

Supply-chain attack (tấn công chuỗi cung ứng phần mềm) là kỹ thuật hacker nhắm vào các thành phần phụ thuộc trong quá trình phát triển phần mềm thay vì tấn công trực tiếp vào mục tiêu chính. Trong trường hợp này, hacker đã thực hiện một cuộc tấn công nhiều tầng cực kỳ tinh vi. Bước đầu tiên, họ compromise thư viện TanStack npm - một thư viện JavaScript phổ biến được nhiều developer tin dùng.

Từ TanStack, mã độc được inject vào Nx Console extension thông qua quá trình update dependency tự động. Khi các developer GitHub sử dụng VS Code cài extension này, backdoor được kích hoạt và cấp quyền truy cập vào hệ thống nội bộ. Theo phân tích của chúng tôi, kỹ thuật này đặc biệt nguy hiểm vì nó lợi dụng lòng tin của developer vào các công cụ quen thuộc. Không ai ngờ rằng một extension VS Code thông thường lại có thể trở thành cửa ngõ cho hacker xâm nhập vào "pháo đài" GitHub.

Tác động lan rộng khắp hệ sinh thái

Con số 3.800 repositories bị ảnh hưởng có vẻ nhỏ so với hàng triệu repo trên GitHub, nhưng đây đều là kho mã nguồn nội bộ chứa những thông tin nhạy cảm nhất. Chúng tôi ước tính rằng trong số này có thể bao gồm mã nguồn của các tính năng bảo mật mới, API keys, thông tin cấu hình hệ thống và có thể cả thuật toán machine learning được sử dụng để phát hiện malware. Nếu thông tin này rơi vào tay kẻ xấu, hậu quả sẽ nghiêm trọng hơn rất nhiều so với một vụ rò rỉ dữ liệu thông thường.

Đối với cộng đồng developer Việt Nam, vụ việc này là hồi chuông cảnh báo về xu hướng tấn công supply-chain ngày càng gia tăng. Theo thống kê của Cục An toàn thông tin (Bộ TT&TT), số vụ tấn công nhắm vào các doanh nghiệp công nghệ Việt Nam tăng 40% trong năm 2024, trong đó tấn công supply-chain chiếm 15% tổng số vụ việc. Các startup và doanh nghiệp tech Việt đang sử dụng rộng rãi các thư viện npm và VS Code extension cũng đối mặt với rủi ro tương tự.

Bảo vệ bản thân trước "virus tàng hình"

Chúng tôi khuyến cáo các developer và doanh nghiệp Việt Nam cần thực hiện ngay các biện pháp phòng vệ cụ thể. Trước tiên, hãy kiểm tra danh sách extension VS Code đã cài đặt và tạm thời gỡ bỏ Nx Console cho đến khi có phiên bản clean chính thức. Tiếp theo, scan toàn bộ dự án đang sử dụng TanStack dependencies bằng công cụ npm audit hoặc yarn audit để phát hiện các phiên bản nhiễm độc.

Về dài hạn, các tổ chức cần xây dựng quy trình security review nghiêm ngặt cho mọi thư viện bên thứ ba trước khi đưa vào production. Sử dụng các công cụ như Snyk, OWASP Dependency Check để giám sát liên tục các lỗ hổng trong dependency chain. Đặc biệt quan trọng, hãy thiết lập sandbox environment riêng biệt cho việc test các thư viện và extension mới, tuyệt đối không kết nối trực tiếp với hệ thống production. Như vụ việc GitHub đã chứng minh, ngay cả những "người gác cổng" an ninh mạng cũng có thể trở thành nạn nhân nếu thiếu cảnh giác.