Cảnh báo khẩn cấp: 16 Gói NPM GlueStack Phổ Biến Bị Tấn Công Chuỗi Cung Ứng

Lê Lân

22/07/2025

Sự Cố Tấn Công Chuỗi Cung Ứng Qua Gói NPM: Mối Nguy Hiểm Từ 16 Gói Phổ Biến

Mở Đầu

Trong thế giới phát triển phần mềm hiện đại, an ninh chuỗi cung ứng ngày càng trở thành mối quan tâm hàng đầu. Gần đây, một chiến dịch tấn công tinh vi đã nhắm vào 16 gói NPM phổ biến, được duy trì bởi dự án GlueStack, gây chấn động cộng đồng phát triển React Native.

Bài viết dưới đây sẽ cung cấp cái nhìn sâu sắc về sự cố tấn công này, phân tích các kỹ thuật mà hacker đã sử dụng để chèn mã độc vào các gói, đồng thời đề xuất các biện pháp an toàn nhằm bảo vệ hệ thống và dự án của bạn.

Tổng Quan Vụ Tấn Công

Mục Tiêu và Tác Động

Khoảng 16 gói NPM thuộc dự án GlueStack, thường được ứng dụng rộng rãi trong phát triển React Native, đã bị nhiễm mã độc thông qua một cuộc tấn công chuỗi cung ứng. Những gói này có tổng số lượt tải lên tới gần 1 triệu mỗi tuần, cho thấy mức độ ảnh hưởng rất lớn.

Cách Thức Tấn Công

Chèn mã độc vào các module dưới dạng một script được kích hoạt qua postinstall hook khi người dùng cài đặt các gói.

Gửi thông tin nhạy cảm như token, biến môi trường, và dữ liệu hệ thống tới các máy chủ điều khiển từ xa (C2).

Trích xuất các file cấu hình .env chứa thông tin xác thực API và các chi tiết build quan trọng.

Ẩn mình tinh vi: mã độc chỉ hoạt động trong các môi trường đặc thù như pipeline CI/CD, giúp tránh bị phát hiện.

Điểm quan trọng: cuộc tấn công được thiết kế để hoạt động một cách gián điệp, đe dọa nghiêm trọng sự an toàn của chuỗi công cụ phát triển và hệ thống doanh nghiệp.

Chi Tiết Hành Vi Độc Hại

Mã Độc Được Tiêm Chèn Qua Postinstall Hook

Sau khi người dùng cài đặt gói, mã độc sẽ tự động chạy trong giai đoạn postinstall, qua đó ghi nhận và thu thập thông tin.

Giao Tiếp Với Máy Chủ C2

Mã độc gửi thông tin quan trọng đến máy chủ điều khiển để hacker có thể thu thập dữ liệu theo thời gian thực.

Các dữ liệu bao gồm token AWS, Firebase, Supabase, GitHub, và các token xác thực khác.

Đánh Cắp .env và Thông Tin Xây Dựng

File .env thường lưu trữ thông tin nhạy cảm như khóa API và cấu hình xây dựng, là mục tiêu hàng đầu của kẻ tấn công nhằm mở rộng phạm vi chiếm quyền kiểm soát.

Cơ Chế Ẩn Mình Trong CI/CD

Mã độc được mã hóa và chỉ kích hoạt trong các môi trường như hệ thống tích hợp liên tục hoặc triển khai liên tục (CI/CD), tận dụng sự tin tưởng vào các pipeline tự động.

Tác Động Đối Với Các Bên Liên Quan

Đối Tượng	Tác Động Chính
Nhà Phát Triển	Dự án web và di động bị sai lệch, tấn công trong quá trình build
Doanh Nghiệp	Rủi ro hệ thống nghiêm trọng từ rò rỉ token và cấu hình DevOps
Người Dùng Cuối	Ứng dụng độc hại có thể được phát hành trên các cửa hàng ứng dụng và thiết bị

Khuyến Nghị Bảo Mật Cho Nhà Phát Triển

Hành Động Ngay Lập Tức

Kiểm tra và audit các phụ thuộc dự án, đặc biệt liên quan đến GlueStack CLI, starter kits và plugins.

Chạy lệnh npm audit kết hợp với công cụ quét thứ ba như Socket.dev hoặc Snyk.

Thay đổi các file .env và cập nhật lại các token API ngay khi phát hiện gói bị ảnh hưởng.

Biện Pháp Dài Hạn

Áp dụng kiểm tra chặt chẽ file khóa phụ thuộc ( package-lock.json , yarn.lock ) trong quy trình kiểm duyệt.

Sử dụng npm ci thay vì npm install để tránh việc cập nhật không mong muốn từ các gói ngoài ý muốn.

Cách ly môi trường CI/CD khỏi mạng Internet trong lúc xây dựng ứng dụng để giảm nguy cơ tấn công từ xa.

Bật xác thực hai yếu tố (2FA) cho tài khoản npm và GitHub của toàn bộ thành viên.

Cẩn trọng với các chuỗi cung ứng phần mềm và luôn theo dõi các bản cập nhật bảo mật giúp giảm đáng kể rủi ro từ những cuộc tấn công tinh vi như thế này.

So Sánh Với Các Vụ Tấn Công Trong Quá Khứ

Cuộc tấn công này gợi nhớ đến một số sự cố nổi bật như:

Vụ tấn công gói ua-parser-js năm 2021

Backdoor trong event-stream năm 2018

Cả hai sự kiện trên đều cho thấy nguy cơ bị lợi dụng từ chính các công cụ và thư viện phát triển do tin tưởng quá mức.

Kết Luận

Sự cố tấn công gói GlueStack nghiêm trọng một lần nữa nhấn mạnh tầm quan trọng của bảo mật chuỗi cung ứng phần mềm. Chỉ một module bị nhiễm cũng đủ để phá hoại toàn bộ hệ sinh thái ứng dụng, gây ra hậu quả vô cùng lớn với cả nhà phát triển lẫn người dùng cuối. Đây là lời cảnh tỉnh cho toàn bộ cộng đồng DevOps và phát triển phần mềm về việc cần thắt chặt an ninh và kiểm soát nghiêm ngặt hơn với các thư viện bên ngoài.

Hãy chủ động kiểm tra và bảo vệ dự án của bạn ngay hôm nay để tránh những hậu quả đáng tiếc trong tương lai.

Tham Khảo

PPHM News Article. (2024). Popular Dev Tools Hijacked In Stealth Malware Campaign. Truy cập từ https://pphmnews.com/articles/cyber-attacks/popular-dev-tools-hijacked-in-stealth-malware-campaign

GitHub Security Advisories (2021-2024)

Socket.dev và Snyk Documentation về audit gói NPM

Các bài viết phân tích sự cố tấn công ua-parser-js (2021), event-stream (2018)