Những kẻ tấn công đã chính thức "đột nhập" vào hệ sinh thái phát triển phần mềm của gã khổng lồ SAP. Nhiều gói npm package (thư viện mã nguồn) chính thức của SAP vừa bị xâm nhập trong một cuộc tấn công supply-chain có chủ đích, nhắm mục tiêu đánh cắp thông tin xác thực và authentication token từ máy tính của các lập trình viên. Chúng tôi đánh giá đây là một trong những cuộc tấn công nghiêm trọng nhất năm 2024, có thể ảnh hưởng đến hàng nghìn developer đang sử dụng các công cụ phát triển của SAP trên toàn cầu.

Khi kẻ thù núp bóng sau những gói thư viện "đáng tin cậy"

Cuộc tấn công này được cho là do nhóm hacker TeamPCP thực hiện, sử dụng phương thức supply-chain attack (tấn công chuỗi cung ứng phần mềm). Thay vì tấn công trực tiếp vào hệ thống mục tiêu, các hacker đã xâm nhập vào các gói npm package chính thức của SAP - những thư viện mà hàng nghìn lập trình viên tin tưởng và cài đặt hàng ngày mà không hề nghi ngờ.

Điều đáng lo ngại là các gói bị tấn công này đều mang thương hiệu SAP - một trong những công ty phần mềm doanh nghiệp lớn nhất thế giới với hệ thống bảo mật được đầu tư hàng tỷ USD. Khi lập trình viên cài đặt hoặc cập nhật các gói này thông qua npm (Node Package Manager), mã độc sẽ tự động được thực thi ngầm trên máy tính của họ. Chúng tôi cho rằng đây là minh chứng rõ nét cho thấy không có hệ thống nào là tuyệt đối an toàn trong thời đại số.

Giải mã "DNA" của cuộc tấn công chuỗi cung ứng

Supply-chain attack là hình thức tấn công gián tiếp, trong đó hacker không tấn công trực tiếp vào mục tiêu chính mà xâm nhập vào các nhà cung cấp, đối tác trong chuỗi phát triển phần mềm. Trong trường hợp này, thay vì hack trực tiếp vào máy tính của từng lập trình viên, TeamPCP đã "nhiễm độc" ngay tại nguồn - các gói thư viện trên npm registry mà hàng nghìn developer tin dùng.

Mã độc được cài cắm trong các gói SAP npm này có khả năng thu thập credentials (thông tin đăng nhập), authentication token (mã thông báo xác thực), và có thể cả source code của các dự án đang phát triển. Đây chính là "chìa khóa vàng" giúp hacker có thể truy cập vào các hệ thống nội bộ của công ty, repository mã nguồn trên GitHub, GitLab, hoặc thậm chí là các môi trường cloud production. Chúng tôi đánh giá tác động của cuộc tấn công này có thể kéo dài hàng tháng, thậm chí hàng năm.

Hậu quả domino: Từ một gói thư viện đến toàn bộ hệ thống

Theo phân tích của chúng tôi, cuộc tấn công này có thể tạo ra hiệu ứng domino khôn lường. Một khi credentials và token bị đánh cắp, hacker có thể leo thang đặc quyền (privilege escalation) để truy cập vào các hệ thống quan trọng khác của doanh nghiệp. Đặc biệt nguy hiểm khi nhiều công ty Việt Nam hiện đang sử dụng các giải pháp SAP cho quản lý tài nguyên doanh nghiệp (ERP), có thể trở thành mục tiêu gián tiếp.

Số lượng lập trình viên bị ảnh hưởng vẫn chưa được công bố chính thức, nhưng với độ phổ biến của các gói SAP npm trong cộng đồng developer, con số này có thể lên đến hàng nghìn. Tại Việt Nam, theo thống kê của Vietnam Software Association, có khoảng 500.000 lập trình viên, trong đó phần lớn sử dụng Node.js và npm trong quy trình phát triển phần mềm.

Lá chắn phòng thủ: Hành động ngay để bảo vệ hệ thống

Chúng tôi khuyến cáo các lập trình viên và doanh nghiệp Việt Nam cần thực hiện ngay các biện pháp sau. Đầu tiên, kiểm tra danh sách các gói npm đã cài đặt bằng lệnh "npm list" để xác định có sử dụng gói SAP nào hay không. Tiếp theo, cập nhật ngay lên phiên bản mới nhất của các gói SAP đã được vá lỗi, hoặc tạm thời gỡ bỏ nếu không sử dụng thường xuyên.

Quan trọng hơn, các công ty cần thay đổi ngay tất cả credentials, API key, và token đã từng được lưu trữ trên các máy phát triển có cài đặt gói bị nhiễm độc. Thiết lập hệ thống monitoring (giám sát) để phát hiện các hoạt động bất thường trong mạng nội bộ. Cuối cùng, triển khai policy kiểm tra bảo mật cho tất cả third-party package trước khi đưa vào production, sử dụng các công cụ như npm audit, Snyk hoặc WhiteSource để scan lỗ hổng bảo mật định kỳ.