Một cuộc tấn công chuỗi cung ứng mới vừa nhắm thẳng vào hệ sinh thái NPM packages của SAP, sử dụng kỹ thuật tinh vi có tên gọi "Mini Shai-Hulud". Điều đáng lo ngại nhất không phải là việc SAP bị tấn công, mà là cách thức tấn công này có thể qua mặt hoàn toàn các hệ thống giám sát bảo mật hiện tại. Chúng tôi cho rằng đây chỉ là khởi đầu cho một xu hướng tấn công mới, tinh vi hơn và khó phát hiện hơn. Câu hỏi đặt ra là: liệu các doanh nghiệp Việt Nam đang sử dụng SAP có đủ chuẩn bị để đối phó với mối đe dọa này không?

Kỹ thuật Mini Shai-Hulud - Khi hacker học cách "ngủ ngầm"

Mini Shai-Hulud không phải là một cuộc tấn công truyền thống. Thay vì tấn công trực tiếp vào hệ thống, kẻ tấn công đã chọn cách len lỏi vào NPM packages - những gói mã nguồn mà hàng triệu developer trên thế giới sử dụng hàng ngày. NPM (Node Package Manager) là kho lưu trữ gói phần mềm lớn nhất thế giới với hơn 2 triệu gói, được tải xuống hàng tỷ lần mỗi tuần.

Điểm đặc biệt của cuộc tấn công này nằm ở việc sử dụng preinstall hook - một tính năng hợp pháp trong NPM cho phép chạy script trước khi cài đặt gói. Kẻ tấn công đã lợi dụng tính năng này để tự động tải xuống và thực thi Bun binary, một runtime JavaScript mới được phát triển để thay thế Node.js. Bằng cách này, mã độc có thể hoạt động ngay từ giai đoạn cài đặt mà không cần sự can thiệp của người dùng.

Cơ chế qua mặt hệ thống giám sát - Điều đáng sợ nhất

Theo phân tích của chúng tôi, điều đáng lo ngại nhất của Mini Shai-Hulud không phải là khả năng xâm nhập, mà là khả năng "vô hình" trước các hệ thống bảo mật. Preinstall hook được thực thi như một phần bình thường của quá trình cài đặt, không kích hoạt cảnh báo từ các công cụ giám sát truyền thống. Điều này có nghĩa là ngay cả những tổ chức có hệ thống bảo mật tốt nhất cũng có thể không phát hiện ra cuộc tấn công.

Việc sử dụng Bun binary thay vì Node.js truyền thống cũng là một nước đi thông minh. Bun là một runtime tương đối mới, chưa được nhiều hệ thống bảo mật "học" cách nhận diện và giám sát. Chúng tôi nhận định rằng kẻ tấn công đã tận dụng khoảng trống này để thực hiện các hoạt động độc hại mà không bị phát hiện. Đây chính là minh chứng cho việc cybercrime đang tiến hóa nhanh hơn cả các giải pháp bảo mật.

Tác động lan rộng - SAP chỉ là khởi đầu

SAP không phải là mục tiêu ngẫu nhiên. Với hơn 440,000 khách hàng tại 180 quốc gia, SAP đang vận hành 87% giao dịch thương mại toàn cầu. Tại Việt Nam, theo thống kê của Bộ Thông tin và Truyền thông, có hơn 200 doanh nghiệp lớn đang sử dụng giải pháp SAP, bao gồm các tập đoàn kinh tế, ngân hàng và doanh nghiệp nhà nước. Một cuộc tấn công thành công vào hệ sinh thái NPM của SAP có thể ảnh hưởng đến hàng nghìn doanh nghiệp Việt Nam.

Chúng tôi đánh giá mức độ nguy hiểm của cuộc tấn công này ở mức "cao" không chỉ vì quy mô mà còn vì tính chất tiềm ẩn. Khác với các cuộc tấn công ransomware hay DDoS có biểu hiện rõ ràng, Mini Shai-Hulud có thể hoạt động âm thầm trong hệ thống trong nhiều tháng mà không bị phát hiện. Trong thời gian này, kẻ tấn công có thể thu thập dữ liệu nhạy cảm, cài đặt backdoor hoặc chuẩn bị cho các cuộc tấn công lớn hơn.

Lộ trình phòng chống - Hành động ngay để tránh hối tiếc

Doanh nghiệp Việt Nam sử dụng SAP cần thực hiện ngay các bước sau: Đầu tiên, kiểm tra toàn bộ NPM packages đang sử dụng, đặc biệt chú ý đến các gói có preinstall hooks. Thứ hai, cập nhật các công cụ giám sát để có thể phát hiện hoạt động của Bun runtime. Thứ ba, thiết lập network monitoring để theo dõi các kết nối bất thường từ môi trường development và production.

Về dài hạn, chúng tôi khuyến nghị các tổ chức nên áp dụng "Supply Chain Security Framework" - kiểm tra kỹ lưỡng mọi thành phần bên thứ ba trước khi tích hợp vào hệ thống. Đồng thời, cần có chính sách backup và incident response plan cụ thể cho các cuộc tấn công chuỗi cung ứng. Điều quan trọng nhất là nâng cao nhận thức của đội ngũ developer về các mối đe dọa mới này. Như chúng tôi thường nói: trong an ninh mạng, phòng ngừa luôn tốt hơn khắc phục.