Sự kiện phát hiện một cuộc tấn công chuỗi cung ứng NPM quy mô lớn vào tháng 9 năm 2025 đã làm tăng cường sự chú ý vào bảo mật email như là tuyến phòng thủ quan trọng đầu tiên chống lại các cuộc tấn công kiểu này. Các tác nhân đe dọa đã xâm nhập thành công nhiều tài khoản nhà phát triển NPM có ảnh hưởng lớn thông qua một chiến dịch phishing tinh vi, chèn mã độc vào 20 gói phổ biến nhận được gần 2,8 tỷ lượt tải xuống hàng tuần.

Một phân tích mới cho thấy các khả năng bảo vệ email nâng cao lẽ ra đã có thể ngăn chặn thông điệp độc hại đầu tiên khởi phát sự cố này.

Bối Cảnh Vụ Tấn Công Chuỗi Cung Ứng NPM

Chiến Dịch Phishing Nhắm Vào Nhà Phát Triển

Vào ngày 8 tháng 9 năm 2025, một tác nhân đe dọa đã thực hiện một chiến dịch phishing có mục tiêu cao chống lại các nhà phát triển NPM, cụ thể là mạo danh bộ phận Hỗ trợ của NPM. Cuộc tấn công tập trung vào nhà phát triển Josh Junon (được biết đến với tên “qix”).

Ông Junon đã nhận được một email lừa đảo với tiêu đề “Two-Factor Authentication Update Required” từ địa chỉ giả mạo support@npmjs[.]help. Nội dung email tuyên bố rằng cấu hình xác thực hai yếu tố của người nhận đã lỗi thời và yêu cầu phải được xử lý ngay lập tức.

Email này còn đe dọa sẽ đình chỉ tài khoản nếu vấn đề bảo mật không được giải quyết kịp thời. Ngôn ngữ gây áp lực này đã chứng tỏ hiệu quả: Junon và ít nhất bốn nhà phát triển NPM khác đã nhấp vào liên kết độc hại và nhập thông tin đăng nhập của họ vào một trang đăng nhập NPM giả mạo.

Cơ Chế Lây Nhiễm và Mã Độc Clipper

Sau khi kẻ tấn công có quyền truy cập vào các tài khoản này, chúng đã sửa đổi 20 gói NPM phổ biến bằng cách chèn một JavaScript clipper. Đây là một loại mã độc có khả năng giám sát hoạt động trình duyệt và ứng dụng để tìm kiếm các tương tác với ví tiền điện tử.

Mã độc này có thể phát hiện và thay thế các địa chỉ ví cho Bitcoin (BTC), Ethereum (ETH), Solana (SOL), Tron (TRX), Litecoin (LTC) và Bitcoin Cash (BCH). Việc này đã chuyển hướng các giao dịch tiền điện tử đến các ví do kẻ tấn công kiểm soát mà người dùng không hề hay biết.

Phân Tích Khả Năng Ngăn Chặn Bằng Bảo Mật Email Nâng Cao

Vượt Qua Các Giao Thức Xác Thực Chuẩn

Các email lừa đảo trong vụ tấn công chuỗi cung ứng NPM này đã vượt qua các giao thức xác thực email tiêu chuẩn như SPF, DKIM và DMARC. Điều này cho thấy sự tinh vi của chiến dịch.

Mặc dù vậy, một số chỉ số kỹ thuật khác vẫn có thể cảnh báo chiến dịch này là độc hại.

Các Chỉ Số Kỹ Thuật Đáng Ngờ

Tên miền giả mạo npmjs.help đã được đăng ký gần đây và không có bất kỳ kết nối hợp pháp nào với cơ sở hạ tầng chính thức của NPM. Đây là một dấu hiệu rõ ràng của việc giả mạo tên miền.

Các cơ chế phát hiện nâng cao của nền tảng Business Email Protection (BEP) của Group-IB phân tích các mẫu hành vi của người gửi, xác định các nỗ lực giả mạo tên miền và kiểm tra các tệp đính kèm và liên kết độc hại theo thời gian thực. Hệ thống sử dụng thông tin tình báo về mối đe dọa mạng toàn cầu để định vị các hoạt động đáng ngờ.

Các email phishing này chứa một số đặc điểm của các chiến dịch thu thập thông tin đăng nhập: đe dọa khẩn cấp về việc đình chỉ tài khoản, các liên kết độc hại được tùy chỉnh dẫn đến trang thu thập thông tin và ngôn ngữ được thiết kế để vượt qua sự kiểm tra của con người.

Các hệ thống bảo mật email xuất sắc trong việc phát hiện các chỉ số hành vi và kỹ thuật này, đánh dấu các thông điệp có mẫu không nhất quán với các thông tin liên lạc hợp pháp của tổ chức.

Hậu Quả và Biện Pháp Đối Phó

Tác Động Rộng Lớn và Khôi Phục Hệ Thống

Với các gói bị ảnh hưởng đại diện cho gần 2,8 tỷ lượt tải xuống hàng tuần, tác động tiềm ẩn của sự xâm nhập này đã vượt xa các tài khoản nhà phát triển bị xâm nhập. Đây là một ví dụ điển hình về nguy cơ tiềm tàng của các cuộc tấn công chuỗi cung ứng NPM. Sau những nỗ lực khắc phục nhanh chóng, các gói bị xâm nhập đã được hoàn nguyên về các phiên bản sạch và các nhà phát triển bị ảnh hưởng đã giành lại quyền kiểm soát tài khoản.

Chỉ Báo Đe Dọa (IOCs)

Group-IB đã công bố các chỉ báo xâm nhập (IOC) toàn diện, chi tiết cơ sở hạ tầng phishing và thông tin ví tiền điện tử được sử dụng bởi kẻ tấn công thông qua nền tảng Threat Intelligence của mình. Điều này cho phép các đội bảo mật tăng cường khả năng phát hiện xâm nhập và ứng phó với các mối đe dọa liên quan.

Các IOC liên quan đến mã độc JavaScript clipper và các ví tiền điện tử của kẻ tấn công bao gồm:

• Mã độc: JavaScript clipper chèn vào các gói NPM.
• Tên miền giả mạo:support@npmjs[.]help (dùng cho chiến dịch phishing).
• Ví tiền điện tử mục tiêu bị thay thế: Bitcoin (BTC), Ethereum (ETH), Solana (SOL), Tron (TRX), Litecoin (LTC), Bitcoin Cash (BCH).
• Địa chỉ ví của kẻ tấn công: Thông tin chi tiết có sẵn qua nền tảng Threat Intelligence của Group-IB.

Giải Pháp Phòng Ngừa Mối Đe Dọa Mạng Tương Tự

Các tổ chức có thể giảm thiểu các rủi ro từ các cuộc tấn công chuỗi cung ứng NPM tương tự bằng cách triển khai các giải pháp bảo mật email đa lớp. Các giải pháp này cần kết hợp xác minh giao thức xác thực với phân tích hành vi, kiểm tra uy tín tên miền và tích hợp thông tin tình báo về mối đe dọa mạng.

Sự cố này nhấn mạnh một điểm yếu quan trọng ngay cả trong các hệ sinh thái phát triển phức tạp: yếu tố con người vẫn là điểm vào đáng tin cậy nhất cho kẻ tấn công. Khi các cuộc tấn công chuỗi cung ứng tiếp tục phát triển, bảo mật email vẫn là biện pháp phòng thủ hiệu quả về chi phí và có tác động lớn nhất chống lại các nỗ lực xâm nhập ban đầu. Để tìm hiểu thêm về cách tăng cường bảo mật chuỗi cung ứng phần mềm, bạn có thể tham khảo hướng dẫn từ CISA.