Axios dính mã độc trên NPM: Khi 'chân ái' HTTP bỗng quay xe thả Trojan

Chào các đạo hữu. Anh em làm web, đặc biệt là hệ Node.js/Frontend thì lạ đ*o gì con hàng Axios nữa. Nó là cái thư viện quốc dân, chân ái của mọi nhà mỗi khi cần gọi API. Nhưng sáng nay thức dậy, ly cà phê chưa kịp ngấm thì giang hồ đã rúng động: Axios trên NPM vừa dính chưởng, bị chèn mã độc thả Trojan thẳng vào máy nạn nhân!

Để tôi kể cho các ông nghe cái drama hú hồn chim én này.

Tóm tắt nhanh vụ úp sọt ác mộng

Chuyện là mấy pháp sư bảo mật bên StepSecurity vừa túm được một rổ các phiên bản dính mã độc núp bóng Axios trên NPM. Thủ đoạn của bọn hacker này rất ma giáo:

• Bơm Remote Access Trojan (RAT): Các bản cài đặt này chứa mã độc. Khi anh em hồn nhiên gõ npm install, thay vì chỉ kéo thư viện về để request API cho mượt, anh em lại vô tình rước luôn một con Trojan vào nhà.
• Mở cửa đón trộm: Con RAT này sẽ âm thầm backdoor máy tính hoặc máy chủ của anh em. Từ đó, thằng hacker ất ơ nào đó ở nửa vòng trái đất có thể rình mò, chôm chỉa source code, hoặc biến server của công ty thành dàn đào coin mướn.
• Supply Chain Attack: Đây là kiểu tấn công chuỗi cung ứng kinh điển. Bọn nó không hack trực tiếp vào web của các ông, nó hack vào cái công cụ mà các ông tin tưởng nhất.

Giang cư mận cào phím: Tế sống NPM hay chửi dev ẩu?

Dù bài post trên Hacker News vọt lên hơn 1600 upvote (chứng tỏ độ hot bỏng tay), cộng đồng dev chia làm mấy phe combat cực gắt:

• Phe chửi NPM (NPM is a dumpster fire): Đa số anh em đều than vãn rằng hệ sinh thái của Node/NPM quá nát. Bất kỳ ai cũng có thể đẩy package lên, và việc check mã độc của NPM thì hên xui như chơi lô đề.
• Phe "Trở về tuổi thơ": Một số trưởng lão hô hào anh em bỏ m* Axios đi, quay về dùng fetch API mặc định của trình duyệt và Node.js cho nó lành. Đỡ phải ôm cái cục node_modules nặng cả GB mà đ*o biết bên trong chứa cái thứ tà đạo gì.
• Phe rén ngang: Các dev mỏng manh bắt đầu điên cuồng check lại package-lock.json xem hôm qua mình có lỡ tay gõ npm update trong cơn ngái ngủ hay không.

Góc nhìn từ C4F: Sinh tồn giữa bầy sói

Nói đi cũng phải nói lại, Axios đ*o có lỗi, lỗi là ở cái cơ chế quản lý lỏng lẻo và thói quen cắm đầu gõ lệnh của anh em mình. Vụ này là một cái tát lật mặt cho những thanh niên nào vẫn giữ tư duy "cứ tải bản mới nhất là ngon".

Chốt hạ vài bài học xương máu cho anh em:

1. Ghim version (Pin dependencies): Làm ơn, lạy lục các ông, hãy dùng package-lock.json hoặc yarn.lock. Fix cứng cái version lại. Đừng có để dấu ^ hay ~ ở đầu version trong file package.json nữa.
2. Đừng có ngứa tay update bừa: Nếu app đang chạy ngon, đừng tự nhiên nổi hứng update thư viện lên bản mới làm gì nếu đ*o có lý do chính đáng.
3. Dùng tool quét mã độc: Tích hợp mấy cái scanner như Snyk hay npm audit vào CI/CD pipeline đi. Cẩn tắc vô áy náy.

Đấy, code dạo đã nghèo lại còn hay gặp eo. Anh em tự bảo trọng nhé!

---

Nguồn hóng hớt: Axios compromised on NPM – Hacker News | StepSecurity Blog