Làm thế nào một kho mã độc hại có thể lọt vào danh sách trending của Hugging Face - nền tảng chia sẻ mô hình AI hàng đầu thế giới? Câu trả lời nằm ở một chiêu trò tinh vi: hacker đã tạo ra một repository (kho lưu trữ mã nguồn) giả mạo dự án Privacy Filter của OpenAI, đánh lừa hàng nghìn lập trình viên tải về malware đánh cắp thông tin. Điều đáng lo ngại nhất là repository này không chỉ tồn tại mà còn thu hút đủ lượt tương tác để xuất hiện trong danh sách xu hướng của platform.

Chiêu trò mạo danh tinh vi như thế nào?

Kẻ tấn công đã tạo ra một repository có tên gần giống với dự án Privacy Filter chính thức của OpenAI, sử dụng các từ khóa và mô tả hấp dẫn để đánh lừa người dùng. Repository giả mạo này được thiết kế cực kỳ tinh xảo, từ logo, mô tả cho đến cấu trúc thư mục đều bắt chước y hệt bản gốc. Thậm chí, hacker còn sử dụng các kỹ thuật SEO để đẩy repository lên top tìm kiếm khi người dùng gõ từ khóa liên quan đến OpenAI.

Điểm đáng chú ý là repository này chỉ nhắm vào người dùng Windows. Khi victim tải về và chạy file, một malware loại infostealer sẽ được kích hoạt ngầm. Infostealer là loại mã độc chuyên đánh cắp thông tin nhạy cảm như mật khẩu, token xác thực, dữ liệu trình duyệt và thậm chí cả ví cryptocurrency. Chúng tôi cho rằng đây là một trong những cuộc tấn công social engineering (kỹ thuật lừa đảo tâm lý) tinh vi nhất từng xuất hiện trên Hugging Face.

Mã độc hoạt động ra sao và tại sao khó phát hiện?

Malware được nhúng trong repository này thuộc dạng fileless (không tệp tin), nghĩa là nó không tạo ra các file độc hại trên ổ cứng mà hoạt động trực tiếp trên RAM. Điều này giúp nó tránh được sự phát hiện của nhiều phần mềm antivirus truyền thống. Khi người dùng chạy script Python từ repository, mã độc sẽ kết nối về server Command & Control (C&C - máy chủ điều khiển từ xa) để nhận lệnh và gửi dữ liệu đã đánh cắp.

Theo phân tích của các chuyên gia bảo mật, malware này có khả năng thu thập cookies từ các trình duyệt phổ biến, đánh cắp session token của GitHub, Discord, Telegram và nhiều platform khác. Đặc biệt nguy hiểm, nó còn có thể truy cập vào các file cấu hình AWS, Google Cloud và Azure - những thông tin có thể cho phép hacker xâm nhập vào hạ tầng cloud của nạn nhân. Chúng tôi đánh giá đây là một cuộc tấn công có chủ đích nhắm vào cộng đồng AI developers.

Quy mô thiệt hại và tác động thực tế

Repository giả mạo này đã thu hút hơn 3,000 lượt download trước khi bị Hugging Face phát hiện và gỡ bỏ. Con số này có vẻ không lớn, nhưng cần nhớ rằng đối tượng bị tấn công chủ yếu là các nhà phát triển AI - những người có quyền truy cập vào dữ liệu và hệ thống nhạy cảm. Một lập trình viên bị compromise có thể dẫn đến việc toàn bộ dự án AI của công ty bị xâm phạm.

Tại Việt Nam, theo thống kê từ Cục An toàn thông tin, số vụ tấn công nhắm vào các công ty công nghệ đã tăng 45% trong năm 2024. Đặc biệt, các startup AI Việt Nam đang trở thành mục tiêu hấp dẫn do thường có khả năng bảo mật còn hạn chế nhưng lại sở hữu các mô hình và dữ liệu có giá trị. Sự việc này một lần nữa cho thấy tầm quan trọng của việc xác thực nguồn gốc mã nguồn trước khi sử dụng.

Làm thế nào để bảo vệ bản thân khỏi các cuộc tấn công tương tự?

Bước đầu tiên và quan trọng nhất là luôn kiểm tra kỹ thông tin tác giả và độ tin cậy của repository. Chỉ tải mã nguồn từ các tài khoản đã được verified (xác minh) hoặc có lịch sử đóng góp rõ ràng. Với các dự án của OpenAI, hãy luôn truy cập trực tiếp từ trang chính thức github.com/openai thay vì tìm kiếm qua bên thứ ba. Nếu bạn đã từng tải repository đáng ngờ, hãy chạy full scan antivirus ngay lập tức và đổi tất cả mật khẩu quan trọng.

Các công ty công nghệ Việt Nam nên thiết lập policy (chính sách) nghiêm ngặt về việc sử dụng mã nguồn từ bên ngoài. Mọi thư viện và tool phải được team bảo mật review trước khi đưa vào production environment (môi trường sản xuất). Đồng thời, triển khai giải pháp endpoint protection có khả năng phát hiện malware fileless và giám sát hoạt động bất thường của các process trên hệ thống. Theo kinh nghiệm của chúng tôi, việc đầu tư vào đào tạo security awareness cho developer là không thể thiếu trong bối cảnh hiện tại.