Những kẻ tấn công đã thành công xâm nhập vào hai thiết bị nhân viên của OpenAI và đánh cắp thông tin xác thực từ các kho mã nguồn của công ty. Cuộc tấn công này được thực hiện thông qua chuỗi cung ứng phần mềm TanStack, một thư viện JavaScript phổ biến được hàng triệu developer sử dụng trên toàn cầu. Sự việc một lần nữa chứng minh rằng ngay cả những gã khổng lồ công nghệ hàng đầu thế giới cũng không thể miễn nhiễm trước các cuộc tấn công tinh vi. Chúng tôi cho rằng đây là tín hiệu báo động nghiêm trọng cho toàn bộ cộng đồng phát triển phần mềm.

Khi 'Cha đẻ' ChatGPT trở thành nạn nhân

OpenAI - công ty đứng sau ChatGPT với hơn 180 triệu người dùng hoạt động hàng tháng - đã xác nhận việc hai thiết bị của nhân viên bị xâm phạm. Điều đáng lo ngại nhất không phải là số lượng thiết bị bị tấn công, mà là việc kẻ tấn công đã truy cập thành công vào credential material (thông tin xác thực) từ các code repository (kho lưu trữ mã nguồn) của công ty. Đây là những thông tin cực kỳ nhạy cảm, có thể bao gồm API keys, access tokens, và các thông tin đăng nhập hệ thống nội bộ.

Supply chain attack (tấn công chuỗi cung ứng) đã trở thành xu hướng tấn công ưa thích của tin tặc trong những năm gần đây. Thay vì tấn công trực tiếp vào mục tiêu chính có hệ thống bảo mật mạnh, họ chọn cách xâm nhập vào các nhà cung cấp thứ ba có bảo mật yếu hơn. Khi thành công, một cuộc tấn công duy nhất có thể ảnh hưởng đến hàng nghìn tổ chức sử dụng dịch vụ hoặc sản phẩm của nhà cung cấp đó.

TanStack - Mắt xích yếu trong chuỗi bảo mật

TanStack là một bộ thư viện JavaScript mã nguồn mở được phát triển bởi Tanner Linsley, bao gồm các công cụ phổ biến như TanStack Query (trước đây là React Query), TanStack Table, và TanStack Router. Với hơn 40 triệu lượt tải xuống hàng tuần trên npm, TanStack đã trở thành backbone (xương sống) cho vô số ứng dụng web hiện đại. Chính sự phổ biến này đã khiến nó trở thành mục tiêu béo bở cho tin tặc.

Chúng tôi đánh giá đây là một trong những cuộc tấn công chuỗi cung ứng nghiêm trọng nhất năm 2024. Việc tin tặc có thể compromised (xâm phạm) được một thư viện có tầm ảnh hưởng lớn như TanStack cho thấy họ có kỹ năng và nguồn lực đáng kể. Điều này đặt ra câu hỏi về khả năng bảo mật của toàn bộ hệ sinh thái npm và các package manager khác.

Tác động lan rộng: Từ Silicon Valley đến Việt Nam

Vụ việc không chỉ ảnh hưởng đến OpenAI mà có thể lan rộng đến hàng triệu ứng dụng đang sử dụng TanStack trên toàn cầu. Theo thống kê từ GitHub, có hơn 2.5 triệu repository công khai sử dụng các thư viện TanStack. Tại Việt Nam, ước tính có khoảng 15,000 developer đang tích cực sử dụng TanStack trong các dự án của mình, từ startup công nghệ đến các ngân hàng số và ứng dụng e-commerce lớn.

Tình hình an ninh mạng tại Việt Nam đang trở nên phức tạp hơn khi các cuộc tấn công chuỗi cung ứng gia tăng. Theo báo cáo của Cục An toàn thông tin, số vụ tấn công mạng nhắm vào doanh nghiệp Việt Nam đã tăng 127% trong năm 2024, trong đó 23% là các cuộc tấn công thông qua third-party dependencies (phụ thuộc bên thứ ba).

Phòng thủ khẩn cấp: Hành động ngay để bảo vệ hệ thống

Các developer và doanh nghiệp Việt Nam cần thực hiện ngay các bước sau để bảo vệ hệ thống. Đầu tiên, kiểm tra toàn bộ package.json và yarn.lock để xác định có đang sử dụng TanStack không. Nếu có, cập nhật ngay lên phiên bản mới nhất đã được vá lỗi. Sử dụng npm audit hoặc yarn audit để scan vulnerabilities trong toàn bộ dependency tree.

Chúng tôi khuyến nghị mạnh mẽ việc triển khai Software Bill of Materials (SBOM) để theo dõi tất cả các components trong ứng dụng. Thiết lập monitoring system để phát hiện các hoạt động bất thường trong code repository và rotate (thay đổi) toàn bộ API keys, access tokens có thể bị ảnh hưởng. Đặc biệt quan trọng là đào tạo team developer về supply chain security awareness để ngăn chặn các cuộc tấn công tương tự trong tương lai.