Thư viện JavaScript bị tấn công, chỉ mất 50 USD tiền mã hóa

Tue, 09 Sep 2025, 05:59 am UTC

Thư viện JavaScript bị tấn công, chỉ mất 50 USD tiền mã hóa / Tokenpost

Một cuộc tấn công chuỗi cung ứng phần mềm quy mô lớn đã xảy ra thông qua thư viện JavaScript phổ biến, gây rúng động cộng đồng công nghệ và tiền mã hóa. Tuy nhiên, trái với kỳ vọng của tin tặc, tổng số tiền mã hóa bị đánh cắp chỉ vào khoảng từ 7 triệu đồng (50 USD).

Theo nền tảng bảo mật tiền mã hóa Security Alliance đưa tin ngày 10 (giờ địa phương), một hacker đã xâm nhập vào tài khoản Node Package Manager (NPM) của một nhà phát triển nổi tiếng, từ đó chèn mã độc vào thư viện JavaScript được sử dụng rộng rãi trong ngành công nghệ.

Cụ thể, theo phân tích của giới nghiên cứu bảo mật, thư viện nhiễm mã độc này đã được tải về hơn 1 tỷ lần trên toàn cầu, khiến nhiều ví Ethereum(ETH) và Solana(SOL) trở thành mục tiêu tiềm tàng. Địa chỉ ví Ethereum “0xFc4a48” được xác định là từ duy nhất diễn ra quá trình rút tiền trái phép. Tuy nhiên, điều đáng chú ý là khoản tiền bị chiếm dụng chỉ giới hạn ở mức rất nhỏ – khoảng 50 USD.

Bình luận trên tài khoản mạng xã hội X (trước đây là Twitter), Security Alliance nhấn mạnh: “Chỉ cần chiếm quyền một tài khoản NPM của nhà phát triển, kẻ tấn công có thể tiếp cận các công cụ lập trình được tải về hơn 2 tỷ lần mỗi tuần, đồng thời có khả năng khống chế hàng triệu máy trạm của lập trình viên. Bối cảnh như vậy có thể mở đường cho những vụ đánh cắp tài sản nghiêm trọng.” Tuy nhiên, họ cho biết tổng giá trị thực tế bị đánh cắp chỉ dừng lại ở mức “từ” 50 USD, cho thấy hacker đã không tận dụng được mức độ truy cập hệ thống.

“Điều đó đặt ra hồi chuông cảnh báo về mức độ an toàn trong chuỗi cung ứng phần mềm, đặc biệt đối với các dự án mở và các công cụ phát triển phổ biến,” Security Alliance kết luận.

Các chuyên gia an ninh mạng cho biết, tấn công chuỗi cung ứng có mức độ nguy hiểm đặc biệt cao vì chỉ cần một điểm xâm nhập có thể gây lan rộng hậu quả cho cả hệ sinh thái phần mềm. Trong lĩnh vực tiền mã hóa, nơi các dự án thường dựa vào phần mềm mã nguồn mở, việc cập nhật hệ thống bảo mật và triển khai kiểm toán định kỳ đang trở nên cấp thiết hơn bao giờ hết.

Từ vụ việc này, một lần nữa “từ” bảo mật tiền mã hóa, “từ” Ethereum(ETH) và “từ” Solana(SOL) được đặt lên bàn cân. Giới chuyên môn cho rằng cộng đồng cần siết chặt hơn nữa các quy chuẩn bảo mật trong các thư viện phần mềm mở, đặc biệt là những thành phần đang được sử dụng rộng rãi trên toàn cầu.

Bình luận: Mặc dù hậu quả tài chính trong vụ tấn công lần này là không đáng kể, nhưng nó phản ánh rõ nguy cơ tiềm ẩn từ các lỗ hổng bảo mật trong chuỗi cung ứng phần mềm, nhất là khi những công nghệ này ngày càng được tích hợp sâu vào hệ thống giao dịch tiền mã hóa.

#Bảo mật tiền mã hóa # Ethereum(ETH) # Solana(SOL) # tấn công chuỗi cung ứng # thư viện JavaScript # Node Package Manager (NPM)