Cuộc tấn công nhắm vào kho lưu trữ npm
Ngày 11/7/2026, một cuộc tấn công mạng tinh vi đã nhắm vào kho lưu trữ npm – nơi cung cấp hàng triệu gói mã nguồn cho lập trình viên toàn cầu. Kẻ xấu đã chiếm quyền kiểm soát tài khoản đăng tải của gói phần mềm jscrambler, một công cụ bảo vệ mã nguồn phổ biến, và phát tán 5 phiên bản chứa mã độc chỉ trong vòng chưa đầy 3 giờ. Theo công ty bảo mật Socket, phiên bản độc hại đầu tiên bị phát hiện chỉ sau 6 phút xuất hiện, nhưng kẻ tấn công vẫn kịp tung thêm 4 phiên bản khác với kỹ thuật giấu mã độc ngày càng tinh vi.
Mã độc đánh cắp dữ liệu từ công cụ AI lập trình
Phần mềm gián điệp được cài tự động khi lập trình viên tải các phiên bản jscrambler giả mạo (8.14.0, 8.16.0, 8.17.0, 8.18.0 và 8.20.0). Nó nhắm vào nhiều loại dữ liệu nhạy cảm: ví tiền số như MetaMask và TrustWallet, kho mật khẩu Bitwarden, dữ liệu trình duyệt, tài khoản Discord, Slack, Telegram. Đặc biệt, mã độc chủ động tìm kiếm dữ liệu từ các công cụ hỗ trợ lập trình bằng AI đang rất phổ biến như Claude Desktop, Cursor, Windsurf, VS Code và Zed. Các công cụ này lưu mã khóa API trên máy tính – thứ cho phép kẻ xấu mạo danh người dùng truy cập tài khoản AI, đánh cắp mã nguồn, hoặc xâm nhập hệ thống máy chủ của doanh nghiệp.
Nguyên nhân và phản ứng
Theo điều tra ban đầu, sự cố không xuất phát từ lỗ hổng kỹ thuật của jscrambler mà do kẻ tấn công chiếm được tài khoản đăng tải trên npm. Ngay sau khi phát hiện, jscrambler đã thu hồi mã khóa, gỡ bỏ các phiên bản độc hại và phát hành phiên bản an toàn 8.22.0. Thống kê từ npm chưa ghi nhận trường hợp tải về các phiên bản độc hại, nhưng con số này có thể chưa đầy đủ và cần thời gian xác minh thêm.
Khuyến cáo cho người dùng
Người dùng đã cài jscrambler từ ngày 11/7/2026 được khuyến cáo kiểm tra phiên bản, gỡ ngay các bản 8.14.0, 8.16.0, 8.17.0, 8.18.0 và 8.20.0 nếu có, cập nhật lên bản 8.22.0, đồng thời đổi toàn bộ mã khóa API nếu nghi ngờ bị ảnh hưởng. Đây không phải lần đầu npm bị tấn công; từ cuối năm 2025, nhiều đợt tấn công tương tự đã nhắm vào kho lưu trữ này, với xu hướng ngày càng tập trung vào dữ liệu công cụ AI thay vì chỉ nhắm vào ví tiền số như trước.



