Coding4Food LogoCoding4Food
Trang chủChuyên mụcArcadeĐã lưu
en
Trang chủChuyên mụcArcadeĐã lưu
Coding4Food LogoCoding4Food
Trang chủChuyên mụcArcadeĐã lưu
Bảo mật|Điều khoản

© 2026 Coding4Food. Viết bởi dev, cho dev.

Tất cả tin tức
Drama ITCông nghệ

Axios dính mã độc trên NPM: Khi 'chân ái' HTTP bỗng quay xe thả Trojan

1 tháng 4, 20263 phút đọc

Drama nổ não: Thư viện quốc dân Axios bị tiêm mã độc trên NPM, tặng kèm Trojan cho anh em dev. Hóng ngay toàn cảnh vụ úp sọt và cách sinh tồn.

Chia sẻ bài viết:
hacker, hacking, theft, cyber, malware, computer, security, credit card, virus, internet, screen, trojan, evil, program, thief, comic, cartoon character, programming, it, evil hackers, hacker, hacker, hacker, hacker, hacker, hacking, malware, thief
Nguồn gốc: https://coding4food.com/post/axios-dinh-ma-doc-npm-trojan. Nội dung thuộc bản quyền Coding4Food. Original source: https://coding4food.com/post/axios-dinh-ma-doc-npm-trojan. Content is property of Coding4Food. This content was scraped without permission from https://coding4food.com/post/axios-dinh-ma-doc-npm-trojanNguồn gốc: https://coding4food.com/post/axios-dinh-ma-doc-npm-trojan. Nội dung thuộc bản quyền Coding4Food. Original source: https://coding4food.com/post/axios-dinh-ma-doc-npm-trojan. Content is property of Coding4Food. This content was scraped without permission from https://coding4food.com/post/axios-dinh-ma-doc-npm-trojan
Nguồn gốc: https://coding4food.com/post/axios-dinh-ma-doc-npm-trojan. Nội dung thuộc bản quyền Coding4Food. Original source: https://coding4food.com/post/axios-dinh-ma-doc-npm-trojan. Content is property of Coding4Food. This content was scraped without permission from https://coding4food.com/post/axios-dinh-ma-doc-npm-trojanNguồn gốc: https://coding4food.com/post/axios-dinh-ma-doc-npm-trojan. Nội dung thuộc bản quyền Coding4Food. Original source: https://coding4food.com/post/axios-dinh-ma-doc-npm-trojan. Content is property of Coding4Food. This content was scraped without permission from https://coding4food.com/post/axios-dinh-ma-doc-npm-trojan
axiosnpmtrojanmã độcnode.jsbảo mậthacker news
Chia sẻ bài viết:

Bình luận

Chào các đạo hữu. Anh em làm web, đặc biệt là hệ Node.js/Frontend thì lạ đ*o gì con hàng Axios nữa. Nó là cái thư viện quốc dân, chân ái của mọi nhà mỗi khi cần gọi API. Nhưng sáng nay thức dậy, ly cà phê chưa kịp ngấm thì giang hồ đã rúng động: Axios trên NPM vừa dính chưởng, bị chèn mã độc thả Trojan thẳng vào máy nạn nhân!

Để tôi kể cho các ông nghe cái drama hú hồn chim én này.

Tóm tắt nhanh vụ úp sọt ác mộng

Chuyện là mấy pháp sư bảo mật bên StepSecurity vừa túm được một rổ các phiên bản dính mã độc núp bóng Axios trên NPM. Thủ đoạn của bọn hacker này rất ma giáo:

  • Bơm Remote Access Trojan (RAT): Các bản cài đặt này chứa mã độc. Khi anh em hồn nhiên gõ npm install, thay vì chỉ kéo thư viện về để request API cho mượt, anh em lại vô tình rước luôn một con Trojan vào nhà.
  • Mở cửa đón trộm: Con RAT này sẽ âm thầm backdoor máy tính hoặc máy chủ của anh em. Từ đó, thằng hacker ất ơ nào đó ở nửa vòng trái đất có thể rình mò, chôm chỉa source code, hoặc biến server của công ty thành dàn đào coin mướn.
  • Supply Chain Attack: Đây là kiểu tấn công chuỗi cung ứng kinh điển. Bọn nó không hack trực tiếp vào web của các ông, nó hack vào cái công cụ mà các ông tin tưởng nhất.

Giang cư mận cào phím: Tế sống NPM hay chửi dev ẩu?

Dù bài post trên Hacker News vọt lên hơn 1600 upvote (chứng tỏ độ hot bỏng tay), cộng đồng dev chia làm mấy phe combat cực gắt:

  • Phe chửi NPM (NPM is a dumpster fire): Đa số anh em đều than vãn rằng hệ sinh thái của Node/NPM quá nát. Bất kỳ ai cũng có thể đẩy package lên, và việc check mã độc của NPM thì hên xui như chơi lô đề.
  • Phe "Trở về tuổi thơ": Một số trưởng lão hô hào anh em bỏ m* Axios đi, quay về dùng fetch API mặc định của trình duyệt và Node.js cho nó lành. Đỡ phải ôm cái cục node_modules nặng cả GB mà đ*o biết bên trong chứa cái thứ tà đạo gì.
  • Phe rén ngang: Các dev mỏng manh bắt đầu điên cuồng check lại package-lock.json xem hôm qua mình có lỡ tay gõ npm update trong cơn ngái ngủ hay không.

Góc nhìn từ C4F: Sinh tồn giữa bầy sói

Nói đi cũng phải nói lại, Axios đ*o có lỗi, lỗi là ở cái cơ chế quản lý lỏng lẻo và thói quen cắm đầu gõ lệnh của anh em mình. Vụ này là một cái tát lật mặt cho những thanh niên nào vẫn giữ tư duy "cứ tải bản mới nhất là ngon".

Chốt hạ vài bài học xương máu cho anh em:

  1. Ghim version (Pin dependencies): Làm ơn, lạy lục các ông, hãy dùng package-lock.json hoặc yarn.lock. Fix cứng cái version lại. Đừng có để dấu ^ hay ~ ở đầu version trong file package.json nữa.
  2. Đừng có ngứa tay update bừa: Nếu app đang chạy ngon, đừng tự nhiên nổi hứng update thư viện lên bản mới làm gì nếu đ*o có lý do chính đáng.
  3. Dùng tool quét mã độc: Tích hợp mấy cái scanner như Snyk hay npm audit vào CI/CD pipeline đi. Cẩn tắc vô áy náy.

Đấy, code dạo đã nghèo lại còn hay gặp eo. Anh em tự bảo trọng nhé!


Nguồn hóng hớt: Axios compromised on NPM – Hacker News | StepSecurity Blog

Bài viết liên quan

scam, cybersecurity, phishing, fraud, hacker, crime, attack, cut out, scam, scam, scam, scam, scam
Drama ITCông nghệ

Cú lừa 'việc nhẹ lương cao' trên LinkedIn và cái kết suýt toang vì backdoor

Đang thất nghiệp đói mốc mỏ tự dưng có job xịn gõ cửa? Đọc ngay vụ án quả backdoor ẩn mình trong bài test tuyển dụng LinkedIn để không bị hack bay ví.

16 thg 64 phút đọc
Đọc tiếp →
a man sitting in front of a laptop computer
Drama ITChuyện Nghề

Show HN Đang "Ngạt Thở" Vì Rác AI? Cuộc Chiến Giữa "Vibe Coding" Và Dev Thuần

Show HN đang bị AI làm loãng? Dân tình cãi nhau to về "Vibe Coding" vs Code thủ công. Dev chân chính nên khóc hay nên cười? Đọc ngay kẻo tối cổ.

18 thg 25 phút đọc
Đọc tiếp →
ai generated, data centre, computer, server, rack, technology, digital, processor, server, server, server, server, server
Công nghệAI & Automation

Thinking Machines ra mắt Inkling: Thêm một model AI 'Mở Trọng Số' xịn xò, anh em dev lại có đồ chơi tự host?

Lại thêm một model AI open-weights xịn xò mang tên Inkling vừa được Thinking Machines xả xích. Anh em dev có nên hóng để vác về tự host chạy local?

16 thg 74 phút đọc
Đọc tiếp →
lumber, lumberjack, axe, beard, forest, job, profession, tree, wood, woodcutter, man, person, strong, nature, male
GamingCông nghệ

Game bổ củi online gây nghiện cực mạnh trên Hacker News: Khi các dev tìm thấy chân lý cuộc đời bên lưỡi rìu

Khám phá Firewood Splitting Simulator - tựa game bổ củi siêu tối giản đang làm mưa làm gió trên Hacker News, giúp anh em dev xả stress cực tốt.

15 thg 63 phút đọc
Đọc tiếp →
ai generated, cloud computing, mining, gpu, server, blockchain, artificial intelligence, machine learning, data center, gpu, gpu, data center, data center, data center, data center, data center
Công nghệAI & Automation

Claude Fable 5 Thả Xích: Siêu AI 'Hủy Diệt' Mới Hay Lại Là Cú Lùa Gà Benchmark?

Anthropic vừa thả xích System Card của Claude Fable 5 làm dậy sóng giới dev với hơn 2100 điểm Hacker News. Liệu đây là bước nhảy vọt hay chỉ là bánh vẽ?

10 thg 64 phút đọc
Đọc tiếp →
laptop, hands, gadgets, iphone, apple, lens, macbook, mobile phone, smartphone, typing, blogging, flat lay, workspace, laptop, laptop, typing, typing, typing, typing, typing, blogging, blogging, blogging
Công nghệChuyện Nghề

Mạng 'Xã Hội' Nhưng Đ*o Có Bạn: Khi Thuật Toán Biến Chúng Ta Thành Lũ Nghiện Đu Trend

Nhớ cái thời lướt Facebook để xem thằng bạn cấp 3 hôm nay ăn gì không? Quên m* nó đi. Giờ mở app lên chỉ thấy thuật toán lùa gà bằng drama và trend nhảm nhí.

9 thg 64 phút đọc
Đọc tiếp →