Tin tặc Triều Tiên triển khai 26 gói npm độc hại

Một mối đe dọa mới trong chuỗi cung ứng đang khiến các nhà phát triển phải cảnh giác. Các nhà nghiên cứu bảo mật cảnh báo rằng tin tặc Triều Tiên đã tải lên 26 gói độc hại lên kho npm. Mục tiêu là lây nhiễm vào máy của lập trình viên và đánh cắp dữ liệu nhạy cảm.

GoPlus 中文社区发推提醒，朝鲜黑客向 npm 注册表发布了一组 26 个恶意软件包，这些恶意软件包都附带一个安装脚本（install.js），该脚本会在软件包安装过程中自动执行，进而运行位于“vendor/scrypt-js/version.js”中的恶意代码，…

— 吴说区块链 (@wublockchain12) March 3, 2026

Cảnh báo được cộng đồng GoPlus chia sẻ ngày 3/3 cho rằng chiến dịch này có liên quan đến nhóm tin tặc khét tiếng “Famous Chollima”. Theo báo cáo, các gói này che giấu một trojan truy cập từ xa (RAT) và sẽ kích hoạt trong quá trình cài đặt. Vụ việc cho thấy rủi ro ngày càng gia tăng trong hệ sinh thái mã nguồn mở, đặc biệt với các nhà phát triển Web3 và crypto.

Các gói độc hại ẩn mình giữa công cụ hợp pháp

Các nhà nghiên cứu cho biết kẻ tấn công đã phát hành 26 gói giả mạo, bắt chước các công cụ dành cho lập trình viên. Chủ yếu là các thư viện linting và tiện ích. Mỗi gói đều chứa một tệp install.js tự động chạy khi được cài đặt. Khi được kích hoạt, tập lệnh này sẽ thực thi đoạn mã ẩn nằm trong vendor/scrypt-js/version.js. Đoạn mã này âm thầm tải xuống một trojan truy cập từ xa từ một URL độc hại.

Do npm thường được cài đặt tự động trong môi trường phát triển, nhiều người dùng có thể không nhận ra mình đã bị lây nhiễm. Các chuyên gia bảo mật nhận định chiến thuật này hiệu quả vì lợi dụng quy trình làm việc quen thuộc của lập trình viên. Nói cách khác, phần mềm độc hại được ngụy trang dưới dạng công cụ thông thường.

Phần mềm độc hại có thể làm gì?

RAT được nhúng cho phép kẻ tấn công truy cập sâu vào hệ thống bị nhiễm. Theo cảnh báo từ GoPlus, phần mềm độc hại có thể thực hiện nhiều hành vi nguy hiểm. Nó có thể ghi lại thao tác bàn phím, đánh cắp dữ liệu clipboard và thu thập thông tin đăng nhập trình duyệt. Ngoài ra, nó còn quét hệ thống bằng TruffleHog để tìm kiếm các bí mật bị lộ. Trong trường hợp nghiêm trọng hơn, mã độc có thể tìm cách đánh cắp kho lưu trữ Git và khóa SSH.

Với các nhà phát triển crypto, rủi ro còn lớn hơn. Khóa hoặc thông tin xác thực bị đánh cắp có thể dẫn trực tiếp đến việc ví bị xâm nhập hoặc dự án bị compromise. Vì vậy, các đội ngũ an ninh đang đánh giá chiến dịch này ở mức độ nghiêm trọng cao.

Liên hệ với nhóm Famous Chollima

Các nhà điều tra đã liên kết hoạt động này với chiến dịch tin tặc Triều Tiên có tên Famous Chollima. Nhóm này đã bị các công ty an ninh mạng theo dõi ít nhất từ năm 2018. Họ có tiền sử nhắm mục tiêu vào lập trình viên, dự án crypto và các nền tảng tài chính.

Phân tích gần đây cho thấy chiến dịch sử dụng kỹ thuật làm rối mã tiên tiến. Một số báo cáo đề cập đến phương pháp steganography nhằm ẩn dữ liệu điều khiển trong các đoạn văn bản trông vô hại. Hạ tầng mã độc cũng được phân tán trên nhiều dịch vụ lưu trữ khác nhau, khiến việc gỡ bỏ trở nên khó khăn hơn. Mô hình này phù hợp với các chiến dịch trước đây của Triều Tiên, vốn tập trung vào xâm nhập dài hạn thay vì tấn công chớp nhoáng.

Nhà phát triển được khuyến nghị nâng cao cảnh giác

Các chuyên gia bảo mật khuyến nghị lập trình viên cần xác minh nguồn gốc gói trước khi cài đặt các dependency. Ngay cả dự án nhỏ cũng có thể trở thành điểm xâm nhập cho các vụ tấn công chuỗi cung ứng quy mô lớn hơn. GoPlus đặc biệt cảnh báo người dùng tránh các gói đã bị gắn cờ và rà soát kỹ cây phụ thuộc.

Các đội ngũ cũng được khuyến khích bật lockfile, công cụ kiểm toán và giám sát thời gian chạy.

Vụ việc là lời nhắc rằng hệ sinh thái mã nguồn mở vẫn là mục tiêu hàng đầu của tin tặc có liên hệ với nhà nước. Khi Web3 và phát triển crypto tiếp tục mở rộng, mức độ rủi ro cũng gia tăng. Hiện tại, các chuyên gia cho rằng việc tuân thủ các biện pháp bảo mật cơ bản, kiểm tra gói cài đặt và hạn chế niềm tin là tuyến phòng thủ hiệu quả nhất.