Tóm tắt ngắn
- Microsoft đã xác định hai gói npm bị xâm phạm đã bí mật phân phối phần mềm độc hại có khả năng đánh cắp thông tin đăng nhập ví tiền điện tử, phím nhấn, ảnh chụp màn hình và các thông tin nhạy cảm khác.
- Các kẻ tấn công được cho là đã sử dụng các kho Hugging Face để đánh cắp dữ liệu bị đánh cắp, khiến hoạt động này khó phát hiện hơn.
- Việc phát hiện này làm nổi bật những rủi ro ngày càng tăng trong chuỗi cung ứng phần mềm đối với các nhà phát triển, đồng thời củng cố tầm quan trọng của các thực hành bảo mật tự lưu trữ và việc kiểm tra kỹ lưỡng các phụ thuộc bên thứ ba.
Microsoft đã phát hiện một chiến dịch phần mềm độc hại mới nhắm vào các nhà phát triển thông qua các gói npm bị xâm phạm, làm gia tăng những lo ngại về an ninh chuỗi cung ứng phần mềm. Mã độc được thiết kế để đánh cắp thông tin nhạy cảm, bao gồm thông tin đăng nhập ví tiền điện tử, đồng thời ẩn mình bên trong các công cụ có vẻ hợp lệ.
Các gói npm bị xâm phạm (utils-terminal@3.2.1, logger-active@3.2.1) đang lạm dụng các repo Hugging Face làm cơ sở hạ tầng đánh cắp dữ liệu. Các gói này triển khai một con ngựa Troy truy cập từ xa (RAT) để ghi lại phím nhấn, ảnh chụp màn hình và thông tin xác thực ví tiền điện tử.
Các dấu hiệu xâm phạm… pic.twitter.com/e3kzcStZUg
— Microsoft Threat Intelligence (@MsftSecIntel) June 3, 2026
Theo Microsoft Threat Intelligence, các gói bị ảnh hưởng, được xác định là utils-terminal@3.2.1 và logger-active@3.2.1, đã phân phối một loại trojan truy cập từ xa có khả năng thu thập phím nhấn, ảnh chụp màn hình, thông tin đăng nhập và dữ liệu liên quan đến tiền điện tử từ các hệ thống bị nhiễm. Vì npm là một trong những kho phần mềm lớn nhất thế giới, các gói bị xâm phạm có thể tiếp cận một số lượng lớn nhà phát triển vô tình cài đặt các phụ thuộc bị nhiễm.
Microsoft tiết lộ cuộc tấn công chuỗi cung ứng tập trung vào tiền mã hóa
Chiến dịch đặc biệt liên quan đến người dùng tiền điện tử và các nhà phát triển blockchain. Các máy phát triển thường chứa ví trình duyệt, thông tin xác thực API, mã truy cập đám mây và các kho lưu trữ mã nguồn được kết nối với các dự án tài sản kỹ thuật số. Nếu kẻ tấn công có thể truy cập vào các tài nguyên này, chúng có thể xâm phạm ví, cơ sở hạ tầng phát triển hoặc các hệ thống giao dịch tự động.
Microsoft báo cáo rằng phần mềm độc hại đã sử dụng các kho lưu trữ Hugging Face như một phần trong chiến lược đánh cắp dữ liệu. Bằng cách gửi thông tin bị đánh cắp thông qua một nền tảng trí tuệ nhân tạo đáng tin cậy, những kẻ tấn công đã giảm khả năng hoạt động của chúng bị các hệ thống giám sát bảo mật phát hiện ngay lập tức.
Sự cố này phản ánh một xu hướng rộng hơn, trong đó các tội phạm mạng ngày càng nhắm vào chuỗi cung ứng phần mềm thay vì người dùng cá nhân. Thay vì tấn công trực tiếp các nạn nhân, các tác nhân đe dọa cố gắng xâm nhập vào các công cụ phát triển và các phụ thuộc thường được sử dụng, có thể cung cấp quyền truy cập vào một nhóm lớn hơn nhiều các mục tiêu tiềm năng.
Các thách thức về bảo mật mã nguồn mở tiếp tục gia tăng
Phát hiện mới nhất theo sau một số chiến dịch gần đây nhắm vào các nhà phát triển tiền điện tử và trí tuệ nhân tạo. Các chuyên gia bảo mật trước đây đã xác định các gói độc hại trên các hệ sinh thái npm, PyPI và Rust nhằm thu thập thông tin xác thực ví, khóa SSH và thông tin truy cập đám mây.
Mặc dù những cuộc tấn công này tạo ra rủi ro cho người dùng, chúng không phơi bày điểm yếu trong chính các mạng blockchain. Trong hầu hết các trường hợp, kẻ tấn công tập trung vào việc đánh cắp thông tin xác thực từ các điểm cuối và thiết bị người dùng thay vì cố gắng phá vỡ các nền tảng mã hóa bảo vệ tài sản kỹ thuật số.
Microsoft khuyến nghị xem xét lại các gói đã cài đặt, gỡ bỏ các phụ thuộc đáng ngờ, thay đổi thông tin xác thực có thể đã bị lộ và theo dõi hoạt động ví để phát hiện các giao dịch không được ủy quyền. Các chuyên gia bảo mật cũng khuyên nên lưu trữ cụm từ hạt giống ngoại tuyến và kiểm tra kỹ nguồn phần mềm trước khi cài đặt.