Phần mềm mã nguồn mở là nền tảng cho phần lớn công nghệ hiện nay, tạo điều kiện cho các nhà phát triển trên toàn thế giới xây dựng và chia sẻ công cụ, thư viện và ứng dụng. Tuy nhiên, sự cởi mở này cũng đặt ra những thách thức bảo mật nghiêm trọng. Các kẻ tấn công thường nhắm mục tiêu vào các kho lưu trữ gói như npm để chiếm đoạt tài khoản và chèn mã độc hại, gây ra các vấn đề nghiêm trọng cho an ninh mạng toàn cầu và toàn vẹn của chuỗi cung ứng phần mềm.

Để ứng phó với những rủi ro bảo mật này, GitHub đã công bố các bản cập nhật quan trọng về bảo mật npm, tập trung vào các phương pháp xác thực mạnh mẽ hơn, mã thông báo có thời hạn ngắn và quy trình xuất bản đáng tin cậy. Những thay đổi này nhằm bảo vệ cộng đồng mã nguồn mở và đảm bảo một chuỗi cung ứng phần mềm an toàn hơn, là yếu tố cốt lõi trong chiến lược an ninh mạng hiện đại.

Sự Cố Shai-Hulud: Một Mối Đe Dọa Mạng Nguy Hiểm

Vào giữa tháng 9 năm 2025, một loại sâu tự nhân bản có tên gọi Shai-Hulud đã làm rung chuyển cộng đồng, xâm nhập vào nhiều gói JavaScript phổ biến. Kẻ tấn công đã chiếm đoạt tài khoản của những người bảo trì gói và chèn các script độc hại vào các thư viện được sử dụng rộng rãi, ảnh hưởng đến hàng triệu dự án phụ thuộc.

Các script này không chỉ có khả năng đánh cắp thông tin nhạy cảm vượt ra ngoài các mã thông báo npm mà còn có thể tự lan truyền, gây ra các cuộc tấn công leo thang tiếp theo nếu không được ngăn chặn kịp thời. Sự cố này đã trở thành một mối đe dọa mạng đáng báo động, phơi bày điểm yếu trong chuỗi cung ứng.

GitHub và những người bảo trì mã nguồn mở đã phản ứng nhanh chóng. Họ đã gỡ bỏ hơn 500 gói bị xâm nhập khỏi kho lưu trữ và chặn các lượt tải lên chứa các chỉ số thỏa hiệp (IOC) đã biết. Dù các biện pháp này rất cần thiết, nhưng sự cố Shai-Hulud đã cho thấy rõ ràng rằng các phương pháp xác thực và xuất bản cũ không còn đủ khả năng phòng thủ trước các mối đe dọa mạng tinh vi trong chuỗi cung ứng phần mềm.

Tăng Cường An Ninh Mạng Với Các Biện Pháp Mới của npm

Để chủ động ngăn chặn các vụ vi phạm trong tương lai và nâng cao bảo mật thông tin, GitHub sẽ yêu cầu xác thực hai yếu tố (2FA) cho tất cả các quy trình xuất bản gói cục bộ. Đây là một bước tiến quan trọng trong việc củng cố lớp bảo vệ ban đầu cho tài khoản người dùng.

Cụ thể, những người bảo trì phải sử dụng WebAuthn dựa trên FIDO thay vì mật khẩu dùng một lần dựa trên thời gian (TOTP) truyền thống. WebAuthn cung cấp khả năng chống lại các cuộc tấn công lừa đảo (phishing) cao hơn đáng kể, vì nó xác minh danh tính thông qua khóa vật lý hoặc sinh trắc học, thay vì chỉ là mã số có thể bị đánh cắp.

Sự thay đổi này sẽ loại bỏ các phương pháp 2FA yếu hơn và khiến việc chiếm đoạt tài khoản trở nên khó khăn hơn nhiều, qua đó tăng cường an ninh mạng tổng thể cho nền tảng npm.

Mã Thông Báo Truy Cập Có Thời Hạn Ngắn và Quyền Hạn Chi Tiết

Bên cạnh yêu cầu 2FA, npm sẽ áp dụng các mã thông báo truy cập có quyền hạn chi tiết (granular access tokens) với thời gian tồn tại tối đa là bảy ngày. Các mã thông báo có thời hạn ngắn này giới hạn đáng kể khoảng thời gian mà kẻ tấn công có thể lạm dụng thông tin đăng nhập bị đánh cắp, giảm thiểu thiệt hại tiềm tàng.

Nguyên tắc quyền hạn tối thiểu (least privilege) được áp dụng chặt chẽ: theo mặc định, các mã thông báo mới sẽ không có quyền xuất bản. Điều này khuyến khích việc sử dụng các luồng xuất bản đáng tin cậy hoặc 2FA bắt buộc, thay vì phụ thuộc vào các mã thông báo có quyền hạn rộng.

Các mã thông báo cổ điển (legacy classic tokens) sẽ bị loại bỏ dần, và mọi tùy chọn bỏ qua 2FA trong quá trình xuất bản cục bộ cũng sẽ bị loại bỏ hoàn toàn. Đây là một động thái chiến lược để loại bỏ các điểm yếu đã tồn tại, cải thiện an ninh mạng của toàn bộ hệ thống.

Cơ Chế Xuất Bản Đáng Tin Cậy (Trusted Publishing)

Xuất bản đáng tin cậy (Trusted publishing) cung cấp một giải pháp thay thế an toàn và hiệu quả cho việc quản lý mã thông báo trong các hệ thống xây dựng và CI/CD. Mô hình này, ban đầu được PyPI tiên phong vào tháng 4 năm 2023, sử dụng các nhà cung cấp danh tính (identity providers) và giao thức OpenID Connect (OIDC) để xác minh các quy trình làm việc đáng tin cậy mà không cần lưu trữ mã thông báo.

OIDC cho phép hệ thống xây dựng chứng minh danh tính của mình với kho lưu trữ npm, xác nhận rằng nó là một quy trình hợp lệ được ủy quyền để xuất bản gói. Điều này loại bỏ hoàn toàn nhu cầu về các mã thông báo API dài hạn trong các tập lệnh hoặc biến môi trường, nơi chúng dễ bị rò rỉ.

Kể từ khi phát hành ban đầu, xuất bản đáng tin cậy đã được tích hợp vào các nền tảng lớn như RubyGems, crates.io, npm và NuGet. GitHub có kế hoạch tiếp tục mở rộng hỗ trợ cho các nhà cung cấp danh tính bổ sung và tăng cường khả năng tương thích trên các hệ sinh thái phát triển khác.

Bằng cách áp dụng xuất bản đáng tin cậy, những người bảo trì có thể loại bỏ các mã thông báo API khỏi các đường ống xây dựng (build pipelines) và dựa vào các bằng chứng dựa trên danh tính để ủy quyền phát hành gói. Cách tiếp cận này giảm đáng kể rủi ro bảo mật do rò rỉ mã thông báo và xuất bản trái phép, một đóng góp quan trọng cho bảo mật thông tin của chuỗi cung ứng.

Thông tin chi tiết về kế hoạch này, bao gồm lộ trình triển khai và hướng dẫn, có thể tham khảo tại blog chính thức của GitHub: Kế hoạch cho một chuỗi cung ứng npm an toàn hơn.

Lộ Trình Triển Khai và Các Bước Chủ Động cho Cộng Đồng

GitHub thừa nhận rằng những cải tiến về an ninh mạng này có thể yêu cầu cập nhật các quy trình làm việc hiện có và cam kết hỗ trợ cộng đồng. Để tạo điều kiện chuyển đổi dễ dàng, công ty sẽ triển khai các thay đổi dần dần và cung cấp lịch trình rõ ràng, tài liệu toàn diện, hướng dẫn di chuyển chi tiết và các kênh hỗ trợ chuyên dụng.

Trong thời gian chờ đợi, những người bảo trì npm được khuyến nghị thực hiện các bước chủ động ngay lập tức để củng cố bảo mật thông tin của họ:

• Kích hoạt tính năng xuất bản đáng tin cậy (trusted publishing) cho các dự án của họ.
• Tăng cường cài đặt tài khoản và tổ chức để yêu cầu 2FA cho tất cả các hoạt động ghi (write operations).
• Cấu hình 2FA với WebAuthn để tận dụng khả năng chống lừa đảo vượt trội.

Đảm bảo an ninh mạng cho chuỗi cung ứng phần mềm là trách nhiệm chung của toàn bộ cộng đồng phát triển. Bằng cách chủ động áp dụng các phương pháp xác thực mạnh mẽ, mã thông báo có thời hạn ngắn và xuất bản đáng tin cậy, các nhà phát triển có thể góp phần xây dựng một hệ sinh thái mã nguồn mở an toàn và đáng tin cậy hơn.

Các khoản đầu tư mới nhất của GitHub vào bảo mật npm đánh dấu một bước đi chiến lược và quan trọng trong việc bảo vệ hàng triệu dự án và cộng đồng toàn cầu phụ thuộc vào chúng, góp phần củng cố nền tảng an ninh mạng trên diện rộng và chống lại các mối đe dọa mạng ngày càng phức tạp.