Công ty bảo mật Socket cảnh báo chiến dịch tấn công chuỗi cung ứng mang tên TrapDoor đang phát tán package độc hại trên npm, PyPI và Crates.io nhằm đánh cắp khóa ví crypto, token GitHub và thông tin xác thực cloud của lập trình viên. Theo Socket, chiến dịch này đã liên quan đến hơn 34 package độc hại và 384 phiên bản được phát hiện trong tháng 5/2026.
Tóm tắt chính
- Chiến dịch Trapdoor phân phối 34 gói độc hại trên 384 phiên bản qua ba kho mã nguồn mở lớn, một số gói vẫn còn truy cập được tại thời điểm phát hiện vào 22/05/2026.
- Nhà phát triển crypto là mục tiêu đặc biệt nguy hiểm vì họ thường lưu trữ khóa ví, token dự án và thông tin xác thực hạ tầng trực tiếp trong môi trường làm việc.
- Người dùng cần đối chiếu ngay danh sách gói đã cài đặt với danh sách bị xâm phạm do Socket công bố, đồng thời thay thế toàn bộ thông tin xác thực có khả năng bị lộ.
- Socket phát hiện chiến dịch tấn công chuỗi cung ứng Trapdoor trên npm, PyPI và Crates.io
- Phần mềm độc hại nhắm vào thông tin xác thực nhà phát triển và ví tiền mã hóa như thế nào
- Vì sao nhà phát triển crypto là mục tiêu đặc biệt nguy hiểm trong các cuộc tấn công chuỗi cung ứng
- Ảnh hưởng đến lập trình viên dùng npm, PyPI và Crates.io
- Những bước kiểm tra quan trọng dành cho nhà phát triển sau vụ phát hiện Trapdoor
- Câu hỏi thường gặp (FAQ)
Socket phát hiện chiến dịch tấn công chuỗi cung ứng Trapdoor trên npm, PyPI và Crates.io
Các nhà nghiên cứu bảo mật tại Socket đã xác định một chiến dịch phần mềm độc hại có tổ chức, được đặt tên là Trapdoor, nhắm vào các lập trình viên làm việc trong lĩnh vực tiền mã hóa. Chiến dịch này phân phối 34 gói độc hại qua ba kho lưu trữ mã nguồn mở lớn gồm npm, PyPI và Crates.io, với mục tiêu đánh cắp khóa ví tiền mã hóa và thông tin xác thực của nhà phát triển.
Theo báo cáo từ Socket, chiến dịch được công bố lần đầu vào ngày 22/05/2026 và tiếp tục được cập nhật trong những ngày cuối tuần sau đó. Tổng cộng 34 gói phần mềm độc hại trải rộng trên 384 phiên bản khác nhau, và tại thời điểm phát hiện, một số gói vẫn còn có thể truy cập được trên các kho lưu trữ này.
Các package được đặt tên giống công cụ phát triển hoặc thư viện hỗ trợ thông thường, khiến lập trình viên khó nhận ra rủi ro khi cài đặt vào môi trường làm việc hoặc CI/CD.
Những ai đang sử dụng các gói từ npm, PyPI hoặc Crates.io trong các dự án liên quan đến tiền mã hóa nên rà soát lại danh sách phụ thuộc và đối chiếu với danh sách gói độc hại mà Socket công bố để xác định nguy cơ bị ảnh hưởng.
Phần mềm độc hại nhắm vào thông tin xác thực nhà phát triển và ví tiền mã hóa như thế nào
Chiến dịch tấn công này hoạt động bằng cách ngụy trang các gói phần mềm độc hại thành công cụ phát triển mã nguồn mở thông thường, từ đó xâm nhập vào môi trường làm việc của lập trình viên và đánh cắp dữ liệu nhạy cảm.
Các loại thông tin mà kẻ tấn công nhắm tới bao gồm:
- Khóa ví tiền mã hóa
- Thông tin xác thực dịch vụ đám mây
- Token GitHub
- Khóa SSH và các bí mật hệ thống khác
Điểm đáng chú ý là nhóm tấn công còn khai thác các tệp chỉ thị (directive files) để can thiệp vào công cụ lập trình tích hợp trí tuệ nhân tạo. Thông qua đó, các công cụ AI bị thao túng để tự động chạy các lệnh quét bảo mật, vô tình làm lộ dữ liệu nhạy cảm của người dùng ra ngoài.
Socket cho biết một số package còn tìm cách can thiệp vào workflow của công cụ AI hỗ trợ lập trình thông qua các file như .cursorrules và CLAUDE.md, cho thấy môi trường phát triển tích hợp AI đang trở thành mục tiêu mới của các cuộc tấn công chuỗi cung ứng.
Các nhóm phát triển sử dụng npm, PyPI hoặc package liên quan đến crypto nên rà soát dependency đã cài đặt trong vài ngày gần đây, đồng thời thay mới token GitHub, khóa SSH và secret cloud nếu nghi ngờ đã bị lộ. Những ai lưu trữ khóa ví hoặc thông tin xác thực trực tiếp trong môi trường phát triển cần đặc biệt thận trọng. Người dùng nên kiểm tra lại cách bảo quản ví tiền mã hóa và xác minh tính hợp lệ của các gói phần mềm trước khi cài đặt, theo khuyến nghị từ các nguồn bảo mật chính thức.
Cập nhật tin tức crypto mới nhất trên Telegram NIHONCASI
Vì sao nhà phát triển crypto là mục tiêu đặc biệt nguy hiểm trong các cuộc tấn công chuỗi cung ứng
Nhà phát triển trong lĩnh vực crypto không chỉ viết code mà còn nắm giữ quyền truy cập vào ví kỹ thuật số, token dự án, khóa bí mật cơ sở hạ tầng và nhiều thông tin xác thực có giá trị cao. Đặc điểm này khiến họ trở thành mục tiêu hấp dẫn hơn nhiều so với nhà phát triển phần mềm thông thường khi bị nhắm đến qua các cuộc tấn công chuỗi cung ứng.
Khi một gói phần mềm độc hại xâm nhập vào môi trường làm việc của nhà phát triển crypto, thiệt hại tiềm tàng không dừng lại ở dữ liệu cá nhân. Kẻ tấn công có thể lấy được thông tin đăng nhập ví, rút cạn quỹ dự án hoặc chiếm quyền kiểm soát hạ tầng đám mây đang vận hành các dịch vụ thực tế. Mức độ ảnh hưởng vì vậy thường lớn hơn nhiều so với các ngành khác.
Mối lo ngại còn mở rộng ra ngoài phạm vi các dự án crypto thuần túy. Nhiều cộng đồng nhà phát triển liền kề, chẳng hạn những người xây dựng công cụ tích hợp thanh toán hoặc quản lý hạ tầng đám mây có liên quan đến tài sản số, cũng nằm trong vùng rủi ro. Một gói bị nhiễm độc có thể lan rộng sang nhiều nhóm dự án khác nhau trước khi bị phát hiện.
Xu hướng tấn công chuỗi cung ứng nhắm vào phần mềm phát triển liên quan đến crypto đang gia tăng rõ rệt. Các cuộc tấn công chuỗi cung ứng nhằm vào npm và PyPI đã xuất hiện liên tục trong năm 2025-2026. Trước đó, nhiều package độc hại từng bị phát hiện có khả năng đánh cắp dữ liệu ví crypto hoặc token CI/CD từ môi trường phát triển của lập trình viên.
Ảnh hưởng đến lập trình viên dùng npm, PyPI và Crates.io
Các lập trình viên đã cài đặt những gói bị nhiễm mã độc có nguy cơ bị lộ khóa ví tiền điện tử, thông tin xác thực API, token GitHub và khóa SSH. Theo The Hacker News, một số phiên bản gói độc hại vẫn còn khả dụng trên các kho lưu trữ tại thời điểm phát hiện, làm tăng mức độ rủi ro cho những dự án chưa kịp kiểm tra.
Phạm vi bị ảnh hưởng trải rộng trên ba hệ sinh thái phổ biến là npm, PyPI và Crates.io. Bất kỳ dự án nào đã kéo các gói liên quan về môi trường phát triển hoặc sản xuất đều cần thực hiện kiểm tra ngay lập tức.
Các kho package như npm và PyPI đang trở thành mục tiêu ngày càng phổ biến của các nhóm tấn công chuỗi cung ứng do đây là nơi nhiều dự án phần mềm tự động tải dependency trong quá trình build hoặc triển khai CI/CD. Theo GitGuardian, phần lớn chiến dịch gần đây đều tập trung vào việc đánh cắp token GitHub, khóa cloud hoặc secret lưu trong môi trường phát triển thay vì chỉ phá hoại mã nguồn.
Những việc cần xác minh ngay
- Đối chiếu danh sách gói đã cài đặt với danh sách các gói bị xâm phạm đã được công bố.
- Thay thế toàn bộ thông tin xác thực có khả năng bị lộ, bao gồm khóa API, token GitHub, thông tin đăng nhập cloud và khóa SSH.
- Chạy công cụ quét bí mật trên toàn bộ mã nguồn và lịch sử commit để phát hiện dữ liệu nhạy cảm còn sót lại.
Việc chỉ gỡ cài đặt gói độc hại là chưa đủ nếu thông tin xác thực đã bị thu thập trước đó. Các nhóm phát triển nên ưu tiên xem xét nhật ký truy cập hệ thống để phát hiện hoạt động bất thường trong khoảng thời gian các gói này tồn tại trong môi trường của họ.
Những bước kiểm tra quan trọng dành cho nhà phát triển sau vụ phát hiện Trapdoor
Sau khi chiến dịch tấn công chuỗi cung ứng nhắm vào các nhà phát triển crypto được công bố, một số hành động cụ thể cần được thực hiện ngay để giảm thiểu rủi ro tiếp theo.
Bước đầu tiên là rà soát toàn bộ chuỗi phụ thuộc (dependency chain) trong dự án. Nhà phát triển cần đối chiếu các gói đã cài đặt với danh sách chính thức các package bị xâm phạm, vốn đã được các nhà nghiên cứu bảo mật công bố liên quan đến chiến dịch phần mềm độc hại Trapdoor. Bất kỳ gói nào trùng khớp đều cần được gỡ bỏ và thay thế ngay lập tức.
Song song với đó, việc xoay vòng thông tin xác thực là ưu tiên không thể bỏ qua. Các secret, token API, và khóa riêng tư có khả năng đã bị lộ trong quá trình phát triển cần được thu hồi và cấp lại. Để tăng cường bảo mật tài khoản liên quan, nhà phát triển nên xem xét thiết lập xác thực hai yếu tố cho các dịch vụ quan trọng.
Ngoài ra, cần theo dõi liên tục các kho lưu trữ package như npm hoặc PyPI để phát hiện sớm các gói độc hại mới có thể được xuất bản theo cùng phương thức tấn công. Các công cụ hỗ trợ lập trình bằng AI cũng là một điểm cần chú ý, vì môi trường phát triển tích hợp AI có thể trở thành mục tiêu của các cuộc tấn công tương tự trong tương lai.
- Kiểm tra và đối chiếu các gói đã cài đặt với danh sách package bị xâm phạm
- Xoay vòng toàn bộ thông tin xác thực, token, và khóa có nguy cơ bị lộ
- Theo dõi các kho package để phát hiện xuất bản độc hại mới
- Rà soát cấu hình môi trường phát triển, đặc biệt khi sử dụng công cụ AI
📎 Bài tham khảo: NIHONCASI – thông tin crypto an toàn cho người mới
Bài viết này chỉ nhằm mục đích cung cấp thông tin về an ninh mạng và rủi ro trong hệ sinh thái mã nguồn mở, không phải lời khuyên đầu tư hoặc khuyến nghị tài chính. Các thông tin trong bài được tổng hợp từ báo cáo của Socket và các nguồn bảo mật công khai tại thời điểm xuất bản. Người dùng nên tự xác minh package, dependency và thông tin xác thực trước khi triển khai trong môi trường phát triển hoặc production. Việc sử dụng npm, PyPI hoặc các package bên thứ ba luôn tiềm ẩn nguy cơ bảo mật nếu không được kiểm tra đầy đủ. NIHONCASI không chịu trách nhiệm đối với các thiệt hại phát sinh từ việc sử dụng thông tin trong bài viết.
Câu hỏi thường gặp (FAQ)
Chiến dịch này phân phối 34 gói độc hại trải rộng trên 384 phiên bản, được phát tán qua ba kho lưu trữ mã nguồn mở gồm npm, PyPI và Crates.io. Tại thời điểm phát hiện vào ngày 22/05/2026, một số gói vẫn còn có thể truy cập được trên các kho này.
Kẻ tấn công nhắm vào khóa ví tiền mã hóa, thông tin xác thực dịch vụ đám mây, token GitHub, khóa SSH và các bí mật hệ thống khác. Ngoài ra, các công cụ lập trình tích hợp AI cũng có thể bị thao túng để vô tình làm lộ dữ liệu nhạy cảm ra ngoài.
Cần đối chiếu danh sách gói đã cài đặt với danh sách package bị xâm phạm đã được công bố, sau đó thu hồi và cấp lại toàn bộ thông tin xác thực có khả năng bị lộ. Chỉ gỡ cài đặt gói độc hại là chưa đủ nếu thông tin xác thực đã bị thu thập trước đó.
