Cảnh Báo Về Các Phiên Bản Axios Độc Hại
Slow Fog đã phát đi cảnh báo về sự xuất hiện của các phiên bản axios độc hại, đi kèm với phần mềm độc hại plain-crypto-js, khiến các nhà phát triển tiền điện tử phải đối mặt với RAT đa nền tảng và nguy cơ bị đánh cắp thông tin xác thực thông qua npm. Công ty bảo mật blockchain Slow Fog đã phát hành thông báo an ninh khẩn cấp sau khi các phiên bản mới được công bố @axios/axios@1.14.1 và @axios/axios@0.3.4 chứa một phụ thuộc độc hại, @crypto-js/plain-crypto-js, biến một trong những thư viện HTTP phổ biến nhất của JavaScript thành một công cụ tấn công chuỗi cung ứng nhắm vào các nhà phát triển tiền điện tử.
Nguy Cơ Từ Cuộc Tấn Công
Axios có hơn 80 triệu lượt tải hàng tuần trên npm, điều này có nghĩa là ngay cả một sự xâm phạm ngắn ngủi cũng có thể lan rộng ra các backend ví, bot giao dịch, sàn giao dịch và cơ sở hạ tầng DeFi được xây dựng trên Node.js. Trong thông báo của mình, Slow Fog đã cảnh báo rằng “các người dùng đã cài đặt @axios/axios@1.14.1 thông qua npm install -g có thể bị ảnh hưởng,” và khuyến nghị họ nên quay vòng thông tin xác thực ngay lập tức và tiến hành điều tra kỹ lưỡng trên máy chủ để tìm dấu hiệu bị xâm phạm.
Cuộc tấn công này dựa vào một gói mã hóa giả mạo,
@crypto-js/plain-crypto-js, được thêm vào một cách âm thầm như một phụ thuộc mới và chỉ được sử dụng để thực thi một kịch bản postinstall bị che giấu, nhằm thả một trojan truy cập từ xa đa nền tảng nhắm vào các hệ thống Windows, macOS và Linux.
Phân Tích Từ Các Chuyên Gia
Công ty bảo mật StepSecurity đã giải thích rằng “không phiên bản độc hại nào chứa một dòng mã độc bên trong Axios,” mà thay vào đó “cả hai đều tiêm một phụ thuộc giả, @crypto-js/plain-crypto-js, có mục đích duy nhất là chạy một kịch bản postinstall để triển khai một trojan truy cập từ xa (RAT) đa nền tảng.” Nhóm nghiên cứu của Socket đã lưu ý rằng gói plain-crypto-js độc hại đã được công bố chỉ vài phút trước khi phát hành axios bị xâm phạm, gọi đây là một “cuộc tấn công chuỗi cung ứng có phối hợp” chống lại hệ sinh thái JavaScript.
Theo StepSecurity, các phiên bản axios độc hại đã được phát tán bằng cách sử dụng thông tin xác thực npm bị đánh cắp thuộc về người duy trì chính jasonsaayman, cho phép kẻ tấn công vượt qua quy trình phát hành thông thường dựa trên GitHub của dự án. “Đây là một sự xâm phạm chuỗi cung ứng trực tiếp trong @axios/axios, mà giờ đây phụ thuộc vào @crypto-js/plain-crypto-js—một gói được công bố vài giờ trước và được xác định là phần mềm độc hại, thực thi các lệnh shell và xóa dấu vết,” kỹ sư bảo mật Julian Harris đã viết trên LinkedIn.
Hành Động Cần Thực Hiện
npm hiện đã xóa các phiên bản độc hại và quay lại phiên bản axios 1.14.0, nhưng bất kỳ môi trường nào đã kéo 1.14.1 hoặc 0.3.4 trong khoảng thời gian tấn công vẫn còn rủi ro cho đến khi các bí mật được quay vòng và các hệ thống được xây dựng lại. Sự xâm phạm này phản ánh các sự cố npm trước đó đã nhắm trực tiếp vào người dùng tiền điện tử, bao gồm một chiến dịch năm 2025 trong đó 18 gói phổ biến như chalk và debug đã âm thầm thay đổi địa chỉ ví để đánh cắp tiền, khiến CTO của Ledger, Charles Guillemet, cảnh báo rằng “các gói bị ảnh hưởng đã được tải xuống hơn 1 tỷ lần.”
Các nhà nghiên cứu cũng đã ghi nhận phần mềm độc hại npm đánh cắp khóa từ ví Ethereum, XRP và Solana, và SlowMist ước tính rằng các vụ hack và gian lận tiền điện tử — bao gồm các gói có backdoor và các cuộc tấn công chuỗi cung ứng hỗ trợ AI — đã gây ra thiệt hại hơn 2,3 tỷ USD chỉ trong nửa đầu năm 2025.
Hiện tại, lời khuyên của Slow Fog là rõ ràng: hạ cấp axios xuống 1.14.0, kiểm tra các phụ thuộc để tìm bất kỳ dấu vết nào của @crypto-js/plain-crypto-js hoặc openclaw, và giả định rằng bất kỳ thông tin xác thực nào đã bị ảnh hưởng bởi những môi trường đó đều đã bị xâm phạm.
Kết Luận
Trong một câu chuyện trước đó trên crypto.news về các cuộc tấn công chuỗi cung ứng JavaScript, Guillemet của Ledger đã cảnh báo rằng các gói npm bị xâm phạm với hơn 2 tỷ lượt tải hàng tuần đã đặt ra một rủi ro hệ thống cho các dApps và ví được xây dựng trên Node.js. Một câu chuyện khác đã chi tiết cách mà Nhóm Lazarus của Bắc Triều Tiên đã cài đặt các gói npm độc hại để tạo backdoor cho các môi trường phát triển và nhắm vào người dùng ví Solana và Exodus. Một câu chuyện thứ ba trên crypto.news về phần mềm độc hại thế hệ tiếp theo đã cho thấy cách các cuộc tấn công chuỗi cung ứng có backdoor thông qua npm và các công cụ AI giá rẻ đã giúp tội phạm điều khiển từ xa hơn 4.200 máy phát triển và góp phần vào hàng tỷ đô la thiệt hại trong lĩnh vực tiền điện tử.
