Cảnh báo: Thư viện Axios có nguy cơ bị lợi dụng tấn công chuỗi cung ứng Web3

Theo Socket Security đưa tin ngày 31 (giờ địa phương), thư viện JavaScript *Axios* đang đối mặt nguy cơ trở thành *“từ”chuỗi cung ứng phần mềm độc hại“từ”*, làm dấy lên lo ngại lớn trong cộng đồng phát triển Web3. Gói Axios – vốn ghi nhận hàng trăm triệu lượt tải về – có khả năng đã bị lợi dụng như một *“từ”kênh phát tán mã độc trong hệ sinh thái Web3“từ”*.

Theo Socket Security đưa tin ngày 31 (giờ địa phương), Feross Aboukhadijeh (Feross Aboukhadijeh), đồng sáng lập công ty bảo mật Socket Security, phát hiện dấu hiệu *“từ”tấn công chuỗi cung ứng“từ”* ngay trong hệ sinh thái phụ thuộc vào Axios – một trong những gói npm (Node Package Manager) phổ biến nhất hiện nay. npm hiện là kho lưu trữ phần mềm mã nguồn mở JavaScript lớn nhất thế giới, với hơn 2 triệu gói, đồng thời được xem là hạ tầng quan trọng của *“từ”phát triển Web3“từ”*.

Điểm bất thường nằm ở việc phiên bản mới nhất [email protected] tự động kéo về một gói phụ thuộc có tên *[email protected]*. Gói này được tạo lập ngay trong ngày xảy ra sự cố, không có lịch sử phát triển rõ ràng, khiến các chuyên gia nghi ngờ đây không phải là bản phát hành hợp lệ mà là dấu hiệu của một *“từ”gói bị xâm nhập phục vụ tấn công chuỗi cung ứng“từ”*.

Aboukhadijeh nhận định đây là một ví dụ điển hình của *“từ”mã độc dạng cài đặt (installer malware) trong chuỗi cung ứng“từ”*. Với việc Axios đang đạt hơn 100 triệu lượt tải mỗi tuần, bất kỳ môi trường nào cập nhật lên bản mới đều có nguy cơ trở thành nạn nhân tiềm tàng.

Dựa trên phân tích bằng AI của Socket Security, gói plain-crypto-just thể hiện hành vi giống một “dropper” – tức *“từ”trình khởi đầu cho chuỗi lây nhiễm mã độc“từ”* với mã nguồn bị làm rối (obfuscation). Nhiệm vụ chính của dropper là tải xuống và kích hoạt thêm các thành phần mã độc khác trên hệ thống nạn nhân, mở đường cho những đợt tấn công sâu hơn.

Sau khi được kích hoạt, mã độc có thể tự xóa hoặc đổi tên tập tin của chính nó để né tránh điều tra pháp y số, đồng thời sao chép payload vào thư mục tạm của hệ điều hành và đường dẫn ProgramData trên Windows. Ngoài ra, nó còn có khả năng giải mã và thực thi các lệnh shell bổ sung, cho phép kẻ tấn công tiếp tục mở rộng quyền kiểm soát hệ thống.

Các chuyên gia bảo mật khuyến cáo lập trình viên đang sử dụng Axios cần hành động ngay lập tức: tạm dừng cập nhật lên bản mới nhất, *“từ”đóng băng (pin) phiên bản gói đang dùng“từ”* và tiến hành rà soát bảo mật file khóa phụ thuộc (lockfile) trong dự án.

*bình luận*: Với mức độ phụ thuộc rất cao vào mã nguồn mở của cộng đồng, sự cố này một lần nữa cho thấy *“từ”rủi ro bảo mật chuỗi cung ứng phần mềm trong Web3“từ”* ngày càng trở nên nghiêm trọng. Chỉ một gói thư viện cốt lõi bị xâm phạm cũng có thể lan ra toàn bộ hệ sinh thái, từ ví tiền mã hóa, sàn giao dịch phi tập trung đến các ứng dụng DeFi và NFT. Trong bối cảnh đó, việc thiết lập quy trình kiểm duyệt gói phụ thuộc, tăng cường giám sát bất thường và áp dụng công cụ phân tích bảo mật tự động đang trở thành yêu cầu bắt buộc với mọi đội ngũ phát triển Web3.