Sự Cố Nguy Hiểm: Mã Độc Tấn Công Gần 1 Triệu Lượt Tải Gói NPM GlueStack Mỗi Tuần!

Lê Lân

10/07/2025

Tấn Công Chuỗi Cung Ứng NPM: Bùng Phát Phần Mềm Độc Hại Trên 16 Gói Phổ Biến Của GlueStack

Mở Đầu

Cuộc tấn công chuỗi cung ứng phần mềm đang trở thành mối đe dọa ngày càng nghiêm trọng, đặc biệt với hệ sinh thái npm - nơi hàng triệu nhà phát triển phụ thuộc vào các thư viện bên thứ ba.

Gần đây, một chiến dịch tấn công phức tạp nhắm vào 16 gói npm phổ biến do dự án GlueStack bảo trì đã được phát hiện. Những gói này chủ yếu được sử dụng rộng rãi trong phát triển ứng dụng React Native. Mục tiêu của kẻ tấn công là cấy mã độc vào các gói này để thu thập dữ liệu nhạy cảm và kiểm soát chu trình xây dựng phần mềm.

Bài viết sau đây sẽ phân tích chi tiết về sự cố bảo mật này, các nguy cơ tiềm tàng, cách tác động đến hệ sinh thái phát triển phần mềm, cũng như hướng dẫn các biện pháp phòng ngừa cho nhà phát triển và tổ chức.

Tổng Quan Sự Cố

Mục Tiêu Và Quy Mô Tấn Công

Gói NPM bị ảnh hưởng: 16 gói liên quan đến GlueStack CLI và các plugin DevOps, chưa tiết lộ đầy đủ danh sách

Lượng người tải: Khoảng gần một triệu lượt tải mỗi tuần

Phạm vi: Tác động đến nhiều dự án React Native và hệ thống DevOps

Hình thức tấn công: Tiêm mã độc (malware injection) vào chuỗi cung ứng phần mềm

Hoạt Động Độc Hại Được Phát Hiện

Hoạt động	Mô tả chi tiết
Tiêm mã độc	Chèn script độc hại thông qua hook `postinstall` trong quá trình cài đặt
Giao tiếp C2 (Command and Control)	Gửi dữ liệu người dùng gồm token, biến môi trường, thông tin hệ thống về máy chủ điều khiển từ xa
Rò rỉ dữ liệu môi trường	Truy xuất và chuyển dữ liệu `.env` , thông tin API, cấu hình build
Cơ chế ẩn mình	Mã độc được làm mờ (obfuscate) và chỉ kích hoạt trong môi trường CI/CD cụ thể

Mã độc được thiết kế tinh vi với nhiều lớp phòng thủ giúp tránh bị phát hiện trong hệ thống tự động, đặc biệt là các pipeline CI/CD.

Tác Động Tiềm Năng Của Sự Cố

Đối Với Nhà Phát Triển

Dự án web và mobile có thể bị thay đổi âm thầm trong quá trình build

Mã nguồn và ứng dụng bị nhiễm mã độc mà nhà phát triển không hay biết

Rò Rỉ Thông Tin Nhạy Cảm

Thông tin xác thực AWS, Firebase, Supabase và GitHub bị lộ

Mất quyền kiểm soát tài nguyên đám mây và kho mã nguồn

Ảnh Hưởng Đến Doanh Nghiệp

Toàn bộ chuỗi DevOps bị ảnh hưởng, nguy cơ lan rộng thành sự cố hệ thống

Ứng dụng bị triển khai tới người dùng cuối có thể chứa mã độc tiềm ẩn

Việc để một gói npm bị kiểm soát có thể gây hủy hoại nghiêm trọng cả môi trường sản xuất và ảnh hưởng đến niềm tin của người dùng cuối.

Đề Xuất Các Biện Pháp Bảo Mật Cho Nhà Phát Triển

Hành Động Ngay Lập Tức

Kiểm tra và rà soát các phụ thuộc liên quan đến GlueStack CLI, starter kits và plugin

Chạy npm audit và sử dụng công cụ quét bảo mật như Socket.dev hoặc Snyk

Thay đổi và bảo vệ lại các file .env , token API nếu dự án có sử dụng gói bị ảnh hưởng

Biện Pháp Phòng Ngừa Dài Hạn

Thực thi kiểm tra khóa khóa file package-lock.json hoặc yarn.lock để hạn chế thay đổi ngoài ý muốn

Sử dụng lệnh npm ci để đảm bảo cài đặt đúng gói đã khóa, tránh tự động nâng cấp

Cách ly môi trường CI/CD khỏi truy cập Internet không cần thiết để ngăn truyền phát mã độc

Kích hoạt xác thực hai bước (2FA) trên tài khoản npm và GitHub nhằm tăng cường an ninh

Quản lý chặt chẽ chuỗi cung ứng phần mềm là bước then chốt để bảo vệ hệ thống khỏi các tấn công tinh vi từ bên ngoài.

Những Bài Học Rút Ra Từ Các Vụ Việc Trước Đây

Các Sự Cố Tương Tự

ua-parser-js (2021): Chuỗi cung ứng npm bị tấn công bằng cách tiêm mã độc vào gói thư viện phân tích user agent phổ biến

event-stream (2018): Gói npm với hàng triệu lượt sử dụng bị gắn backdoor nguy hiểm

Thực Tế Nguy Cơ

Những vụ việc này nhấn mạnh rằng các công cụ phát triển phần mềm cũng chính là mục tiêu hấp dẫn của kẻ tấn công nhằm xâm nhập sâu vào quy trình phát triển và vận hành ứng dụng.

Kết Luận

Sự việc tấn công chuỗi cung ứng npm nhắm vào GlueStack là một minh chứng rõ ràng cho thấy chuỗi cung ứng phần mềm là bề mặt tấn công quan trọng trong kỷ nguyên DevOps và CI/CD hiện đại. Một module bị nhiễm có thể gây ra hậu quả nghiêm trọng, ảnh hưởng đến toàn bộ hệ sinh thái phát triển và vận hành phần mềm.

Các nhà phát triển và tổ chức cần nâng cao cảnh giác, chủ động kiểm duyệt và bảo vệ các phụ thuộc dự án của mình bằng các biện pháp bảo mật nghiêm ngặt.

Hãy thực hiện kiểm tra và cập nhật nhanh chóng bảo vệ chuỗi cung ứng của bạn, đồng thời nâng cao ý thức bảo mật trong toàn đội nhóm.

Tham Khảo

PPHM News Article (June 1, 2024): Popular Dev Tools Hijacked in Stealth Malware Campaign

npm audit documentation

Snyk Security Tool

Krebs on Security (2018): Event-Stream NPM Backdoor Incident

OWASP - Software Supply Chain Security Best Practices