Cuộc tấn công phần mềm quy mô lớn đặt mọi giao dịch crypto vào tình trạng rủi ro

Một cuộc tấn công mạng lớn đã làm rung chuyển hệ sinh thái phần mềm toàn cầu và đặt hàng triệu người dùng crypto vào tình trạng nguy hiểm. Tin tặc đã chiếm quyền kiểm soát tài khoản của một nhà phát triển nổi tiếng trên npm, nền tảng cung cấp sức mạnh cho phần lớn web, và chèn các bản cập nhật độc hại vào các thư viện mã nguồn được sử dụng rộng rãi.

Những thư viện này được nhúng sâu bên trong vô số ứng dụng và trang web. Tổng cộng, chúng được tải về hơn 1 tỷ lần mỗi tuần. Quy mô này khiến đây trở thành một trong những vụ xâm phạm chuỗi cung ứng phần mềm lớn nhất từng được ghi nhận.

Một loại mã độc mới nhắm vào giao dịch crypto

Mã độc này nhắm vào các giao dịch tiền mã hóa. Nó hoạt động theo hai cách.

Đầu tiên, nếu không phát hiện ví, mã độc sẽ tìm kiếm các địa chỉ crypto bên trong một trang web và thay thế chúng bằng các địa chỉ do kẻ tấn công kiểm soát. 

Nó sử dụng các thủ thuật tinh vi để hoán đổi chúng bằng các địa chỉ trông gần như giống hệt nhau về mặt thị giác. Điều này khiến người dùng dễ dàng bỏ qua sự thay đổi.

KHÔNG SỬ DỤNG VÍ CRYPTO của bạn trừ khi bạn chắc chắn rằng nó không bị ảnh hưởng bởi vụ hack Javascript trên NPM. Theo mã tôi đã xem xét, có vẻ như nó nhắm vào các ví dựa trên trình duyệt như metamask bằng cách chặn các phương thức của trình duyệt như fetch và XMLHttpRequest. Đoạn mã này lựa chọn…

— Scott Emick 🇺🇸 (@semick) September 8, 2025

Thứ hai, nếu có ví như MetaMask, mã độc sẽ chủ động thay đổi các giao dịch. 

Khi người dùng chuẩn bị gửi tiền, mã độc sẽ chặn dữ liệu và thay thế người nhận bằng địa chỉ của kẻ tấn công. Nếu người dùng ký mà không kiểm tra kỹ, tiền của họ sẽ bị mất.

Mọi người dùng crypto đều có thể gặp rủi ro

Cuộc tấn công bắt đầu khi tài khoản npm của nhà phát triển có tên Qix bị xâm phạm. Tin tặc sau đó đã phát hành các phiên bản mới của hàng chục gói của ông, bao gồm cả các tiện ích cốt lõi được đề cập ở trên.

Các nhà phát triển cập nhật dự án của họ đã tự động kéo về các phiên bản bị nhiễm độc này. Bất kỳ trang web hoặc ứng dụng phi tập trung nào triển khai chúng đều có thể vô tình khiến người dùng của mình gặp nguy hiểm.

Lỗ hổng chỉ được phát hiện sau khi một lỗi build thu hút sự chú ý đến đoạn mã lạ, không thể đọc được bên trong một trong các gói đã cập nhật. 

Các chuyên gia bảo mật sau đó phát hiện đây là một loại “crypto-clipper” tinh vi được thiết kế để âm thầm chuyển hướng tiền.

Mối đe dọa đặc biệt nghiêm trọng đối với bất kỳ ai thực hiện giao dịch qua trình duyệt web. Nếu bạn đã sao chép địa chỉ từ một trang web, hoặc nếu bạn đã ký chuyển khoản mà không kiểm tra, bạn có thể gặp rủi ro.

Giám đốc Công nghệ của Ledger đã đưa ra cảnh báo nghiêm trọng trên mạng xã hội.

🚨 Có một cuộc tấn công chuỗi cung ứng quy mô lớn đang diễn ra: tài khoản NPM của một nhà phát triển uy tín đã bị xâm phạm. Các gói bị ảnh hưởng đã được tải về hơn 1 tỷ lần, nghĩa là toàn bộ hệ sinh thái JavaScript có thể đang gặp rủi ro. Payload độc hại hoạt động…

— Charles Guillemet (@P3b7_) September 8, 2025

Bạn nên làm gì ngay bây giờ

Các chuyên gia khuyến nghị một số bước khẩn cấp cho tất cả những người nắm giữ crypto:

• Xác minh địa chỉ: Luôn đọc toàn bộ địa chỉ trên màn hình xác nhận của ví hoặc thiết bị phần cứng trước khi ký.
• Tạm dừng hoạt động nếu không chắc chắn: Nếu bạn sử dụng ví dựa trên trình duyệt hoặc phần mềm, hãy cân nhắc tạm ngưng giao dịch cho đến khi có thêm thông tin.
• Kiểm tra hoạt động gần đây: Xem lại các giao dịch và phê duyệt gần đây. Nếu phát hiện điều gì đáng ngờ, hãy thu hồi phê duyệt và chuyển tiền sang ví mới.
• Sử dụng giao dịch thử: Khi gửi đến một địa chỉ mới, hãy chuyển một số tiền nhỏ trước để xác nhận đã đến nơi an toàn.
• Dựa vào ví phần cứng: Các thiết bị hiển thị chi tiết giao dịch trên màn hình riêng biệt vẫn là lựa chọn an toàn nhất.

Cuộc tấn công này cho thấy niềm tin vào hệ sinh thái phần mềm mã nguồn mở có thể mong manh như thế nào. Chỉ một tài khoản nhà phát triển bị xâm phạm đã cho phép tin tặc đẩy mã độc hại vào hàng tỷ lượt tải về.

Sự cố này vẫn đang tiếp diễn. Các phiên bản độc hại đang được gỡ bỏ, nhưng một số có thể vẫn còn trực tuyến trong vài ngày hoặc vài tuần. Cách tiếp cận an toàn nhất là luôn cảnh giác.

Nếu bạn sử dụng crypto, hãy kiểm tra kỹ từng giao dịch. Chỉ cần xem lại địa chỉ trên ví của bạn một lần nữa có thể là sự khác biệt giữa an toàn và bị đánh cắp.