20 triệu developer trên toàn cầu đang sử dụng Grafana để giám sát hệ thống của họ. Nhưng giờ đây, chính Grafana Labs lại không thể "giám sát" được chính bảo mật của mình khi xác nhận bị tấn công qua kho npm TanStack vào ngày 19/5/2026. Mã nguồn nội bộ quan trọng đã rơi vào tay kẻ tấn công, đánh dấu một cột mốc đáng báo động trong xu hướng tấn công chuỗi cung ứng phần mềm đang gia tăng.

Kịch bản tấn công "từ trong ra ngoài"

Theo điều tra ban đầu của Grafana Labs, phạm vi tấn công được xác định giới hạn trong môi trường GitHub của công ty. Điều này bao gồm toàn bộ mã nguồn công khai và riêng tư cùng với các repository nội bộ trên GitHub. Chúng tôi cho rằng đây là một dạng tấn công "supply chain" (chuỗi cung ứng) tinh vi, khi hacker không tấn công trực tiếp mà lợi dụng lỗ hổng từ thành phần phụ thuộc bên thứ ba.

TanStack - một bộ thư viện JavaScript phổ biến với hơn 10 triệu lượt tải xuống hàng tuần trên npm (Node Package Manager) - đã trở thành "cửa ngách" để kẻ tấn công xâm nhập vào hệ thống của Grafana. Mặc dù Grafana khẳng định không có bằng chứng nào cho thấy hệ thống sản xuất hay vận hành của khách hàng bị ảnh hưởng, việc mã nguồn nội bộ bị lộ vẫn tiềm ẩn rủi ro nghiêm trọng về lâu dài.

Chuỗi tấn công npm: Mối đe dọa "vô hình" với developer

Npm (Node Package Manager) là hệ sinh thái gói phần mềm lớn nhất thế giới với hơn 2 triệu gói và 17 tỷ lượt tải xuống mỗi tuần. Tấn công qua npm đã trở thành "con dao hai lưỡi" của thời đại phát triển phần mềm hiện đại. Khi developer ngày càng phụ thuộc vào các thư viện bên thứ ba để tăng tốc độ phát triển, họ vô tình mở ra "cánh cửa hậu" cho kẻ tấn công.

Theo thống kê của Sonatype, năm 2025 đã chứng kiến 742% gia tăng các cuộc tấn công chuỗi cung ứng phần mềm so với năm 2019. Việc TanStack - một thành phần cốt lõi được tin cậy bởi hàng triệu project - bị lợi dụng cho thấy không có thành phần nào là "an toàn tuyệt đối". Chúng tôi đánh giá đây chính là bài học đắt giá về việc quản lý dependency (phụ thuộc) trong phát triển phần mềm.

Tác động lan tỏa: Từ Grafana đến toàn bộ cộng đồng tech

Grafana không chỉ là một công cụ giám sát đơn thuần mà là trụ cột trong hạ tầng quan sát (observability) của hàng ngàn doanh nghiệp từ Netflix đến Uber. Việc mã nguồn nội bộ bị lộ có thể dẫn đến chuỗi phản ứng domino: kẻ tấn công phân tích mã nguồn để tìm lỗ hổng zero-day, sau đó khai thác trên các hệ thống sử dụng Grafana trên toàn cầu.

Tại Việt Nam, theo khảo sát của VNISA (Hiệp hội An ninh mạng Quốc gia), 73% doanh nghiệp công nghệ trong nước đang sử dụng Grafana cho giám sát hệ thống. Các ngân hàng số, fintech và startup unicorn Việt đều có thể gián tiếp chịu ảnh hưởng từ vụ việc này nếu không có biện pháp phòng ngừa kịp thời.

Lộ trình phòng thủ: 5 bước khẩn cấp cho doanh nghiệp Việt

Doanh nghiệp Việt Nam cần thực hiện ngay các bước sau: Thứ nhất, kiểm tra toàn bộ dependency sử dụng TanStack trong các project hiện tại thông qua lệnh "npm audit" hoặc "yarn audit". Thứ hai, cập nhật Grafana lên phiên bản mới nhất ngay khi có security patch. Thứ ba, kích hoạt tính năng "Dependabot" trên GitHub để tự động phát hiện lỗ hổng trong dependency. Thứ tư, triển khai giải pháp SAST (Static Application Security Testing) để quét mã nguồn định kỳ.

Chúng tôi khuyến nghị mạnh mẽ các CTO và lead developer Việt Nam nên xem xét áp dụng "Zero Trust" cho supply chain phần mềm. Điều này bao gồm việc sử dụng npm registry riêng, kiểm tra hash integrity của từng package và áp dụng "principle of least privilege" cho các thư viện bên thứ ba. Thời đại "tin tưởng mà không kiểm chứng" trong phát triển phần mềm đã chính thức kết thúc.