Biến căng TanStack: Bị 'úp sọt' NPM, mã độc bay tứ tung và bài học xương máu cho anh em dev

Đang yên đang lành thì lại có biến các ông ạ. Vừa nhâm nhi ly cà phê sáng định gõ mấy dòng code thì giật bắn mình thấy giang cư mận xôn xao vụ TanStack - cái tên đang nổi rần rần với mấy món đồ chơi xịn xò như React Query, Router - vừa dính quả phốt bảo mật "úp sọt" supply-chain chấn động.

Tóm tắt nhanh cho anh em lười đọc: Chuyện quái gì vừa xảy ra?

Một ngày đẹp trời, một pháp sư hắc ám nào đó đã "húp" được cái token NPM của bên TanStack. Thế là ổng tranh thủ đẩy luôn mấy version có dính mã độc lên hệ thống. Anh em nào mà gõ npm install đúng cái giờ hoàng đạo đấy thì xác định ăn đạn.

Cụ thể là các library thuộc hệ sinh thái của TanStack (đặc biệt là @tanstack/router) đã bị nhét thêm một đoạn script rất ma giáo. Mã độc thì anh em biết rồi đấy, nó không phá máy các ông đâu, mà nó chuyên đi lùng sục mấy cái file .env, móc ví crypto, hoặc húp luôn session token trên máy anh em.

May sao, đội ngũ TanStack quay xe cực gắt. Họ phát hiện vấn đề trong vòng vài nốt nhạc, xóa mẹ mấy bản release láo lếu kia đi, thu hồi toàn bộ token và lên ngay một bài Postmortem giải trình minh bạch. Hotfix được tung ra ngay sau đó để chặn đứng thiệt hại.

Giang cư mận chia phe: Kẻ khen nức nở, người chửi đ*o vuốt mặt kịp

Dạo một vòng Hacker News, có thể thấy cộng đồng chia làm mấy luồng quan điểm chính thế này:

• Phe "Rén ngang": Đa số anh em đều cho rằng NPM đúng là cái mớ bòng bong, chả biết đường nào mà lần. "Gõ npm install bây giờ mà cứ như chơi trò roulette Nga vậy, chả biết lúc nào máy mình biến thành botnet", một đạo hữu than thở.
• Phe "Khen ngợi": Khá nhiều vãn bối bái phục cách xử lý của Tanner Linsley và đội ngũ. "Họ bị hack, ok ai cũng có lúc sai. Nhưng cách họ phản ứng quá mượt, lên bài Postmortem chi tiết, không lấp liếm đổ lỗi. Thế là uy tín rồi".
• Phe "Bóc phốt security": Mấy lão quái chuyên làm bảo mật thì lại khịa: "Năm 2024 rồi mà quản lý token CI/CD vẫn lỏng lẻo thế à các giáo chủ? Tại sao không bật bắt buộc 2FA cho mọi action? NPM Provenance đâu không xài?"

Góc nhìn từ Coding4Food: Bài học sinh tồn giữa thời loạn lạc

Tóm cái váy lại, qua vụ này anh em mình rút ra được vài bài học để giữ cần câu cơm:

1. Đừng tin bố con thằng nào: Code library ngon đến mấy mà bảo mật như cái mền rách thì cũng toang. Anh em dev ở nhà tự dưng làm dự án, deploy lên mấy cái máy chủ để chạy thử, nhớ cẩn thận cái file .env. Đứa nào húp được là nó nướng sạch tài nguyên đấy.
2. Lock version lại mấy cha nội: Nên có thói quen lock version cẩn thận (package-lock.json hoặc yarn.lock). Đừng có đụng tí là npm update vô tội vạ lên bản latest, có ngày ôm hận.
3. Bật 2FA lên: Đối với các anh em đang maintain open-source, làm ơn xài NPM Provenance và bật 2FA cho mọi quy trình CI/CD. Đừng để giang hồ nó cười cho.

Công nghệ thì phát triển, mà mấy anh hacker thì cũng cày ngày cày đêm. Thôi thì cẩn tắc vô áy náy các ông ạ!

Nguồn: Hacker News - Postmortem: TanStack NPM supply-chain compromise Link gốc: https://tanstack.com/blog/npm-supply-chain-compromise-postmortem