Coding4Food LogoCoding4Food
Trang chủChuyên mụcArcadeĐã lưu
en
Trang chủChuyên mụcArcadeĐã lưu
Coding4Food LogoCoding4Food
Trang chủChuyên mụcArcadeĐã lưu
Bảo mật|Điều khoản

© 2026 Coding4Food. Viết bởi dev, cho dev.

Tất cả tin tức
Công nghệDrama IT

Biến căng TanStack: Bị 'úp sọt' NPM, mã độc bay tứ tung và bài học xương máu cho anh em dev

12 tháng 5, 20263 phút đọc

TanStack vừa dính quả phốt bảo mật supply-chain chấn động trên NPM. Chuyện gì đã xảy ra, mã độc làm gì và anh em dev học được gì sau cú 'toang' này?

Chia sẻ bài viết:
Biến căng TanStack: Bị 'úp sọt' NPM, mã độc bay tứ tung và bài học xương máu cho anh em dev
Nguồn gốc: https://coding4food.com/post/bien-cang-tanstack-bi-up-sot-npm-ma-doc-supply-chain. Nội dung thuộc bản quyền Coding4Food. Original source: https://coding4food.com/post/bien-cang-tanstack-bi-up-sot-npm-ma-doc-supply-chain. Content is property of Coding4Food. This content was scraped without permission from https://coding4food.com/post/bien-cang-tanstack-bi-up-sot-npm-ma-doc-supply-chainNguồn gốc: https://coding4food.com/post/bien-cang-tanstack-bi-up-sot-npm-ma-doc-supply-chain. Nội dung thuộc bản quyền Coding4Food. Original source: https://coding4food.com/post/bien-cang-tanstack-bi-up-sot-npm-ma-doc-supply-chain. Content is property of Coding4Food. This content was scraped without permission from https://coding4food.com/post/bien-cang-tanstack-bi-up-sot-npm-ma-doc-supply-chain
Nguồn gốc: https://coding4food.com/post/bien-cang-tanstack-bi-up-sot-npm-ma-doc-supply-chain. Nội dung thuộc bản quyền Coding4Food. Original source: https://coding4food.com/post/bien-cang-tanstack-bi-up-sot-npm-ma-doc-supply-chain. Content is property of Coding4Food. This content was scraped without permission from https://coding4food.com/post/bien-cang-tanstack-bi-up-sot-npm-ma-doc-supply-chainNguồn gốc: https://coding4food.com/post/bien-cang-tanstack-bi-up-sot-npm-ma-doc-supply-chain. Nội dung thuộc bản quyền Coding4Food. Original source: https://coding4food.com/post/bien-cang-tanstack-bi-up-sot-npm-ma-doc-supply-chain. Content is property of Coding4Food. This content was scraped without permission from https://coding4food.com/post/bien-cang-tanstack-bi-up-sot-npm-ma-doc-supply-chain
tanstacknpmsupply chain attackmã độcbảo mật
Chia sẻ bài viết:

Bình luận

Đang yên đang lành thì lại có biến các ông ạ. Vừa nhâm nhi ly cà phê sáng định gõ mấy dòng code thì giật bắn mình thấy giang cư mận xôn xao vụ TanStack - cái tên đang nổi rần rần với mấy món đồ chơi xịn xò như React Query, Router - vừa dính quả phốt bảo mật "úp sọt" supply-chain chấn động.

Tóm tắt nhanh cho anh em lười đọc: Chuyện quái gì vừa xảy ra?

Một ngày đẹp trời, một pháp sư hắc ám nào đó đã "húp" được cái token NPM của bên TanStack. Thế là ổng tranh thủ đẩy luôn mấy version có dính mã độc lên hệ thống. Anh em nào mà gõ npm install đúng cái giờ hoàng đạo đấy thì xác định ăn đạn.

Cụ thể là các library thuộc hệ sinh thái của TanStack (đặc biệt là @tanstack/router) đã bị nhét thêm một đoạn script rất ma giáo. Mã độc thì anh em biết rồi đấy, nó không phá máy các ông đâu, mà nó chuyên đi lùng sục mấy cái file .env, móc ví crypto, hoặc húp luôn session token trên máy anh em.

May sao, đội ngũ TanStack quay xe cực gắt. Họ phát hiện vấn đề trong vòng vài nốt nhạc, xóa mẹ mấy bản release láo lếu kia đi, thu hồi toàn bộ token và lên ngay một bài Postmortem giải trình minh bạch. Hotfix được tung ra ngay sau đó để chặn đứng thiệt hại.

Giang cư mận chia phe: Kẻ khen nức nở, người chửi đ*o vuốt mặt kịp

Dạo một vòng Hacker News, có thể thấy cộng đồng chia làm mấy luồng quan điểm chính thế này:

  • Phe "Rén ngang": Đa số anh em đều cho rằng NPM đúng là cái mớ bòng bong, chả biết đường nào mà lần. "Gõ npm install bây giờ mà cứ như chơi trò roulette Nga vậy, chả biết lúc nào máy mình biến thành botnet", một đạo hữu than thở.
  • Phe "Khen ngợi": Khá nhiều vãn bối bái phục cách xử lý của Tanner Linsley và đội ngũ. "Họ bị hack, ok ai cũng có lúc sai. Nhưng cách họ phản ứng quá mượt, lên bài Postmortem chi tiết, không lấp liếm đổ lỗi. Thế là uy tín rồi".
  • Phe "Bóc phốt security": Mấy lão quái chuyên làm bảo mật thì lại khịa: "Năm 2024 rồi mà quản lý token CI/CD vẫn lỏng lẻo thế à các giáo chủ? Tại sao không bật bắt buộc 2FA cho mọi action? NPM Provenance đâu không xài?"

Góc nhìn từ Coding4Food: Bài học sinh tồn giữa thời loạn lạc

Tóm cái váy lại, qua vụ này anh em mình rút ra được vài bài học để giữ cần câu cơm:

  1. Đừng tin bố con thằng nào: Code library ngon đến mấy mà bảo mật như cái mền rách thì cũng toang. Anh em dev ở nhà tự dưng làm dự án, deploy lên mấy cái máy chủ để chạy thử, nhớ cẩn thận cái file .env. Đứa nào húp được là nó nướng sạch tài nguyên đấy.
  2. Lock version lại mấy cha nội: Nên có thói quen lock version cẩn thận (package-lock.json hoặc yarn.lock). Đừng có đụng tí là npm update vô tội vạ lên bản latest, có ngày ôm hận.
  3. Bật 2FA lên: Đối với các anh em đang maintain open-source, làm ơn xài NPM Provenance và bật 2FA cho mọi quy trình CI/CD. Đừng để giang hồ nó cười cho.

Công nghệ thì phát triển, mà mấy anh hacker thì cũng cày ngày cày đêm. Thôi thì cẩn tắc vô áy náy các ông ạ!

Nguồn: Hacker News - Postmortem: TanStack NPM supply-chain compromise Link gốc: https://tanstack.com/blog/npm-supply-chain-compromise-postmortem

Bài viết liên quan

hacker, hacking, theft, cyber, malware, computer, security, credit card, virus, internet, screen, trojan, evil, program, thief, comic, cartoon character, programming, it, evil hackers, hacker, hacker, hacker, hacker, hacker, hacking, malware, thief
Drama ITCông nghệ

Axios dính mã độc trên NPM: Khi 'chân ái' HTTP bỗng quay xe thả Trojan

Drama nổ não: Thư viện quốc dân Axios bị tiêm mã độc trên NPM, tặng kèm Trojan cho anh em dev. Hóng ngay toàn cảnh vụ úp sọt và cách sinh tồn.

1 thg 43 phút đọc
Đọc tiếp →
coding, computer, hacker, hacking, html, programmer, programming, script, scripting, source code, coding, coding, coding, coding, computer, computer, hacker, hacker, hacker, hacker, hacker, hacking, hacking, programming, programming
Công nghệDrama IT

Úp sọt 3.800 repo GitHub: Cái kết đắng khi Dev cài VSCode extension vô tội vạ

GitHub xác nhận 3.800 repo bay màu vì một extension VSCode chứa mã độc. Nạn nhân chỉ biết khóc ròng, còn anh em dev thì nhận được một bài học xương máu.

21 thg 53 phút đọc
Đọc tiếp →
scam, cybersecurity, phishing, fraud, hacker, crime, attack, cut out, scam, scam, scam, scam, scam
Drama ITCông nghệ

Cú lừa 'việc nhẹ lương cao' trên LinkedIn và cái kết suýt toang vì backdoor

Đang thất nghiệp đói mốc mỏ tự dưng có job xịn gõ cửa? Đọc ngay vụ án quả backdoor ẩn mình trong bài test tuyển dụng LinkedIn để không bị hack bay ví.

16 thg 64 phút đọc
Đọc tiếp →
handcuff, black silver, caught, metal, stole, chain, handcuff, handcuff, handcuff, handcuff, handcuff, caught
Drama ITCông nghệ

Chê nước bẩn trên Facebook, nữ hiệp Texas bị còng tay: Khi bóc phốt quên fake IP

Drama khét lẹt: Một phụ nữ ở Texas bị cảnh sát bế lên phường chỉ vì chê nước sinh hoạt bẩn trên Facebook. Anh em dev rút ra được bài học OpSec xương máu nào?

24 thg 53 phút đọc
Đọc tiếp →
security, cyber, threat, hacker, internet, protection, secure, information, safety, business, cybersecurity, cybersecurity, cybersecurity, cybersecurity, cybersecurity, cybersecurity
Công nghệDrama IT

TanStack, Mistral AI Dính Đạn: Hơn 170 Package npm Bị Úp Sọt, Đ*o Ai Hiểu Kiểu Gì!

Drama cực căng giới Node.js: 170+ package bị chèn mã độc, 400+ version bẩn được push lên npm dù không có account maintainer nào bị hack. Chuyện gì đang xảy ra?

13 thg 54 phút đọc
Đọc tiếp →
scam, phishing, fraud, email, attack, mail, online, system, cybercrime, information, access, credit, money, hack, hacker, laptop, malware, password, protection, software, steal, orange money, orange laptop, orange online, orange email, orange information, orange software, scam, scam, scam, scam, scam, phishing, phishing, phishing, phishing, fraud, fraud, email, cybercrime, malware
Công nghệDrama IT

Góc Hóng Biến: Microsoft Edge Lưu Mật Khẩu Khơi Khơi Trong RAM - Ảo Ma Thực Sự!

Microsoft Edge dính phốt lưu password dưới dạng clear text trong bộ nhớ RAM dù không sử dụng. Dân mạng đang tế sống, anh em thợ code hóng được gì?

5 thg 54 phút đọc
Đọc tiếp →