Bạn có nghĩ rằng việc cài đặt một package JavaScript từ npm có thể khiến toàn bộ hệ thống doanh nghiệp bạn bị xâm nhập không? Đó chính là điều đang xảy ra với chiến dịch tấn công mang tên "mini Shai-Hulud" - một cuộc tấn công chuỗi cung ứng (supply chain attack) tinh vi nhắm vào các gói npm liên quan đến SAP. Nhiều công ty bảo mật hàng đầu bao gồm Aikido Security, SafeDep, Socket, StepSecurity và Wiz thuộc Google đồng loạt phát cảnh báo về mối đe dọa nghiêm trọng này. Đây không chỉ là một cuộc tấn công đơn lẻ mà là chiến dịch có quy mô, nhắm vào hạ tầng JavaScript và ứng dụng đám mây của SAP.

Khi hacker 'đầu độc' kho báu npm của developer

Supply chain attack hay tấn công chuỗi cung ứng là phương thức tấn công gián tiếp, trong đó hacker không tấn công trực tiếp vào mục tiêu mà "đầu độc" các thành phần trung gian mà nạn nhân tin tưởng và sử dụng. Trong trường hợp này, các gói npm (Node Package Manager) - kho lưu trữ mã nguồn JavaScript lớn nhất thế giới - đã bị nhiễm độc bằng malware ăn cắp thông tin đăng nhập. Chiến dịch "mini Shai-Hulud" đã chọn các package có liên quan đến SAP làm mục tiêu, bởi chúng được sử dụng rộng rãi trong các doanh nghiệp lớn.

Chúng tôi cho rằng việc lựa chọn này không hề ngẫu nhiên. SAP là nền tảng ERP (Enterprise Resource Planning) được hàng nghìn doanh nghiệp trên thế giới tin dùng để quản lý tài chính, nhân sự, và các quy trình kinh doanh cốt lõi. Một khi xâm nhập thành công vào hệ thống SAP, hacker có thể truy cập vào dữ liệu kinh doanh nhạy cảm nhất của tổ chức. Đây chính là lý do tại sao các chuyên gia bảo mật đánh giá đây là một trong những chiến dịch tấn công nguy hiểm nhất từ đầu năm đến nay.

Phẫu thuật kỹ thuật của 'mini Shai-Hulud'

Về mặt kỹ thuật, malware trong chiến dịch này hoạt động theo cơ chế "credential stealing" - đánh cắp thông tin xác thực người dùng. Khi developer hoặc hệ thống tự động cài đặt các gói npm bị nhiễm độc, mã độc hại sẽ được kích hoạt ngầm mà không gây ra dấu hiệu báo động nào. Sau đó, nó sẽ thu thập các thông tin nhạy cảm như tên đăng nhập, mật khẩu, API key, và token xác thực từ môi trường làm việc của nạn nhân.

Điều đáng lo ngại là malware này được thiết kế để hoạt động "im lặng" (stealthy), tránh bị phát hiện bởi các công cụ quét bảo mật thông thường. Nó không tạo ra các file đáng ngờ hay tiêu tốn tài nguyên hệ thống một cách bất thường. Thay vào đó, nó tích hợp mượt mà vào quy trình làm việc bình thường của ứng dụng, đợi thời cơ thích hợp để "thu hoạch" dữ liệu. Theo đánh giá của chúng tôi, đây là một thiết kế malware cực kỳ tinh vi, cho thấy nhóm tấn công có trình độ kỹ thuật cao và hiểu rõ về hệ sinh thái JavaScript.

Tác động lan tỏa: từ startup đến tập đoàn đa quốc gia

Quy mô ảnh hưởng của chiến dịch này có thể rất lớn, bởi npm là kho package được sử dụng bởi hàng triệu developer trên toàn thế giới. Chỉ riêng trong tháng trước, các gói npm có hơn 20 tỷ lượt tải xuống toàn cầu. Mỗi lần một tổ chức sử dụng package bị nhiễm độc, toàn bộ hệ thống nội bộ của họ có nguy cơ bị xâm phạm. Điều này đặc biệt nghiêm trọng với các doanh nghiệp đang chuyển đổi số và phụ thuộc nhiều vào các ứng dụng web hiện đại.

Tại Việt Nam, theo thống kê từ Cục An toàn thông tin (Bộ TT&TT), có hơn 3.000 doanh nghiệp đang sử dụng các giải pháp SAP cho quản lý doanh nghiệp. Trong số này, nhiều công ty đã triển khai các ứng dụng tùy chỉnh dựa trên JavaScript để tích hợp với hệ thống SAP core. Nếu không được kiểm tra kỹ lưỡng, những ứng dụng này có thể đã vô tình "mời" malware vào hệ thống nội bộ từ nhiều tuần trước.

Chiến thuật phòng thủ: hành động ngay trước khi quá muộn

Doanh nghiệp cần thực hiện ngay các bước sau để bảo vệ hệ thống. Đầu tiên, kiểm tra toàn bộ danh sách các gói npm đang sử dụng trong dự án, đặc biệt chú ý các package có từ khóa "sap", "ui5", "fiori" hoặc "hana". Tiếp theo, cập nhật ngay lên phiên bản mới nhất của tất cả dependencies và sử dụng công cụ như "npm audit" để quét lỗ hổng bảo mật. Quan trọng hơn, thiết lập quy trình code review nghiêm ngặt và không cho phép cài đặt package từ nguồn không xác minh.

Chúng tôi khuyến nghị mọi tổ chức nên triển khai giải pháp Software Composition Analysis (SCA) để giám sát liên tục các thư viện bên thứ ba. Đồng thời, thực hiện penetration testing định kỳ để phát hiện sớm các dấu hiệu xâm nhập. Đặc biệt, các CISO tại Việt Nam cần xem xét việc áp dụng "Zero Trust Architecture" - không tin tưởng bất kỳ thành phần nào trong hệ thống mà không qua xác minh. Bởi trong thời đại của supply chain attack, ngay cả những công cụ quen thuộc nhất cũng có thể trở thành con dao hai lưỡi.