Cuộc tấn công chuỗi cung ứng Axios phơi bày rủi ro cho các ứng dụng tiền điện tử

Một cuộc tấn công chuỗi cung ứng nghiêm trọng đã xảy ra với Axios, một trong những công cụ được sử dụng rộng rãi nhất trong phát triển web. Các nhà nghiên cứu bảo mật từ Socket Security phát hiện rằng tin tặc đã tiêm mã độc vào các phiên bản cụ thể của thư viện được phát hành trên npm.

🚨CẢNH BÁO: Theo @SocketSecurity, một cuộc tấn công chuỗi cung ứng vào Axios, một thư viện JavaScript được sử dụng rộng rãi cho phép các ứng dụng và trang web giao tiếp với máy chủ, đã dẫn đến việc mã độc bị tiêm vào phân phối npm của nó bởi một kẻ tấn công không xác định.

Cuộc tấn công này có thể ảnh hưởng đến… pic.twitter.com/ooPhbHGSO7

— SolanaFloor (@SolanaFloor) 31 tháng 3, 2026

Cuộc tấn công này có thể ảnh hưởng đến hàng triệu ứng dụng tiền điện tử. Nó bao gồm nhiều nền tảng tiền điện tử phụ thuộc vào Axios để kết nối với máy chủ. Vì Axios được sử dụng trên nhiều hệ thống, rủi ro là rất lớn và ngay lập tức. Các phiên bản bị ảnh hưởng bao gồm [email protected] và [email protected]. Các nhà phát triển đã cài đặt những phiên bản này có thể đã vô tình phơi bày hệ thống của họ.

Cuộc tấn công đã xảy ra như thế nào?

Cuộc tấn công không đến từ một lỗi đơn giản. Thay vào đó, tin tặc đã sử dụng phương pháp chuỗi cung ứng. Điều này có nghĩa là họ đã nhắm mục tiêu vào chính quá trình phân phối phần mềm. Trong trường hợp này, kẻ tấn công đã thêm một gói độc hại có tên “[email protected]” như một phụ thuộc ẩn. Gói này trước đây không phải là một phần của Axios. Ai đó đã âm thầm chèn nó trong quá trình phát hành.

Thậm chí còn đáng lo ngại hơn, quá trình phát hành không tuân theo quy trình bình thường của Axios. Nó không xuất hiện trong các thẻ chính thức trên GitHub. Điều này cho thấy kẻ tấn công đã có quyền truy cập trái phép vào hệ thống xuất bản. Các báo cáo cho thấy một tài khoản bảo trì có thể đã bị xâm phạm. Điều này cho phép kẻ tấn công đẩy phiên bản bị nhiễm trực tiếp lên npm.

Mã độc có thể làm gì?

Mã độc này không vô hại. Nó cài đặt một công cụ truy cập từ xa, còn được gọi là RAT. Khi đã vào trong hệ thống, nó có thể chạy lệnh, thu thập dữ liệu và kết nối với các máy chủ bên ngoài. Nó hoạt động trên macOS, Windows và Linux. Cuộc tấn công cũng được thiết kế để ẩn mình. Nó chạy trong quá trình cài đặt và sau đó xóa dấu vết hoạt động của nó. Điều này làm cho nó khó phát hiện hơn. Với điều này, ngay cả các nhà phát triển cũng có thể không nhận ra hệ thống của họ đã bị ảnh hưởng.

Tại sao các dự án tiền điện tử lại gặp rủi ro?

Các ứng dụng tiền điện tử thường phụ thuộc vào các công cụ như Axios để gửi và nhận dữ liệu. Điều này bao gồm các dịch vụ ví, sàn giao dịch và ứng dụng phi tập trung. Nếu những ứng dụng này sử dụng các phiên bản bị ảnh hưởng, kẻ tấn công có thể truy cập vào dữ liệu nhạy cảm. Điều này có thể bao gồm khóa riêng, token API hoặc thông tin người dùng.

Vì nhiều dự án sử dụng cập nhật tự động, một số có thể đã cài đặt phiên bản bị xâm phạm mà không biết. Điều này làm cho tình hình trở nên nghiêm trọng hơn. Cuộc tấn công cũng cho thấy một điểm yếu có thể ảnh hưởng đến nhiều hệ thống cùng một lúc.

Các nhà phát triển nên làm gì ngay bây giờ?

Các chuyên gia bảo mật khuyến cáo các nhà phát triển hành động nhanh chóng. Đầu tiên, kiểm tra tất cả các phụ thuộc và lockfiles. Tìm kiếm các phiên bản Axios bị ảnh hưởng và gói độc hại. Nếu tìm thấy, hãy xóa chúng ngay lập tức. Sau đó, chuyển sang phiên bản an toàn của Axios.

Cũng rất quan trọng để xem xét các hệ thống cho hoạt động bất thường. Các đội ngũ bảo mật phải xử lý cẩn thận bất kỳ dấu hiệu nào của việc truy cập trái phép. Kho npm đã xóa các phiên bản độc hại. Nhưng sự cố vẫn đang được điều tra. Cuộc tấn công này là một lời nhắc nhở rõ ràng. Ngay cả những công cụ đáng tin cậy cũng có thể trở thành mục tiêu. Trong một không gian phát triển nhanh như tiền điện tử, việc giữ cảnh giác không còn là tùy chọn nữa.