Một cuộc tấn công chuỗi cung ứng với quy mô cực lớn đang diễn ra, gây ra mối đe dọa nghiêm trọng cho toàn bộ hệ sinh thái JavaScript và đặc biệt nhắm vào người dùng tiền mã hóa. Vụ việc được phát hiện và phân tích chi tiết bởi các nhà nghiên cứu bảo mật, trong đó có một báo cáo cụ thể từ người dùng "jdstaerk" trên Substack, và được các chuyên gia như Charles Guillemet (CTO tại Ledger) lan truyền rộng rãi để cảnh báo cộng đồng.
🚨 There’s a large-scale supply chain attack in progress: the NPM account of a reputable developer has been compromised. The affected packages have already been downloaded over 1 billion times, meaning the entire JavaScript ecosystem may be at risk.
— Charles Guillemet (@P3b7_) September 8, 2025
The malicious payload works…
Chi tiết vụ tấn công
Kẻ tấn công đã thành công trong việc chiếm quyền kiểm soát tài khoản của các nhà phát triển uy tín trên nền tảng NPM (Node Package Manager) và phát hành các phiên bản độc hại cho hàng loạt gói thư viện (packages) cực kỳ phổ biến. Các gói này, bao gồm những cái tên quen thuộc như "chalk" và "debug", vốn được hàng triệu dự án trên toàn thế giới sử dụng và đã tích lũy được hơn một tỷ lượt tải xuống. Điều này có nghĩa là mã độc đã có thể lây lan vào một số lượng khổng lồ các ứng dụng và trang web.
Phương thức hoạt động của mã độc
Mã độc được chèn vào các gói thư viện một cách tinh vi và được làm rối (obfuscated) để che giấu hành vi. Khi một ứng dụng hoặc trang web sử dụng phiên bản bị nhiễm độc, đoạn mã này sẽ được thực thi trên trình duyệt của người dùng cuối.
Nó hoạt động ngầm bằng cách theo dõi các hoạt động liên quan đến tiền mã hóa và Web3. Khi người dùng thực hiện một giao dịch, mã độc sẽ can thiệp "chớp nhoáng" để thay đổi địa chỉ ví người nhận thành địa chỉ ví của kẻ tấn công. Quá trình này diễn ra một cách âm thầm mà người dùng rất khó phát hiện nếu chỉ nhìn vào giao diện trên màn hình máy tính. Hậu quả là tiền sẽ được gửi thẳng vào tay tin tặc.
Ai cần phải hành động ngay lập tức?
Cảnh báo này đặc biệt khẩn cấp đối với những người đang lưu trữ và giao dịch tiền mã hóa.
Đối với người dùng không có ví cứng (Hardware Wallet)
Khuyến cáo mạnh mẽ rằng bạn hãy ngừng ngay lập tức mọi giao dịch on-chain (giao dịch trên chuỗi khối). Việc tiếp tục giao dịch vào lúc này mang lại rủi ro cực kỳ cao về việc mất mát tài sản không thể khôi phục.
Đối với người dùng ví cứng (Ledger, Trezor,...)
Mặc dù ví cứng cung cấp một lớp bảo vệ vượt trội, bạn không hoàn toàn miễn nhiễm. Mã độc thay đổi địa chỉ trên giao diện web/ứng dụng, vì vậy bạn bắt buộc phải kiểm tra thật kỹ lưỡng và đối chiếu từng ký tự của địa chỉ ví người nhận hiển thị trên màn hình của thiết bị ví cứng trước khi ký xác nhận giao dịch. Đây là bước quan trọng nhất để đảm bảo tiền của bạn đi đúng nơi.
Hiện tại, các nhà nghiên cứu vẫn đang điều tra xem liệu kẻ tấn công có khả năng đánh cắp trực tiếp cụm từ khôi phục (seed phrase) từ các ví phần mềm hay không. Do đó, tất cả người dùng cần phải nâng cao cảnh giác ở mức độ cao nhất. Hãy cập nhật thông tin liên tục từ các nguồn tin cậy và chia sẻ cảnh báo này để bảo vệ cộng đồng.
