Vừa mới phát hiện một vụ việc an ninh chuỗi cung ứng khá nghiêm trọng. Thư viện khách hàng HTTP phổ biến nhất của JavaScript, axios, đã bị tấn công.

Nói đơn giản, kẻ tấn công đã đánh cắp token truy cập của người duy trì chính của axios trên npm, rồi phát hành hai gói độc chứa phần mềm điều khiển từ xa (phiên bản 1.14.1 và 0.3.4), nhắm vào macOS, Windows và Linux. Những phiên bản độc hại này đã tồn tại trên registry npm khoảng 3 giờ trước khi bị gỡ xuống.

Điều đáng sợ hơn là phạm vi ảnh hưởng. Theo thống kê của công ty an ninh Wiz, lượng tải xuống của axios mỗi tuần vượt quá 100 triệu lần, có mặt trong khoảng 80% môi trường đám mây và mã nguồn. Điều này có nghĩa là số hệ thống tiềm năng bị ảnh hưởng có thể rất lớn. Công ty an ninh Huntress phát hiện ra các hệ thống nhiễm độc trong vòng 89 giây sau khi gói độc xuất hiện, và trong khoảng thời gian mở cửa, xác nhận ít nhất 135 hệ thống đã bị xâm nhập.

Điều thú vị nhất là, dự án axios thực ra đã triển khai cơ chế phát hành đáng tin cậy OIDC và chứng nhận truy xuất nguồn gốc SLSA, các biện pháp an ninh hiện đại này. Nhưng kẻ tấn công vẫn hoàn toàn vượt qua được. Điều tra cho thấy vấn đề nằm ở cấu hình — dự án khi bật OIDC vẫn giữ lại token NPM lâu dài truyền thống, và npm khi hai chế độ tồn tại cùng lúc sẽ ưu tiên sử dụng token truyền thống theo mặc định. Kết quả là, kẻ tấn công không cần vượt qua OIDC, chỉ cần dùng token cũ là đã có thể phát hành thành công.

Vụ việc này cho thấy điều gì? Dù có hệ thống an ninh mới nhất, mạnh mẽ nhất, nếu cấu hình sai lệch cũng chỉ như để đó. Ví dụ của axios cảnh báo chúng ta rằng an ninh chuỗi cung ứng không chỉ là vấn đề kỹ thuật, mà còn liên quan đến chi tiết thực thi. Nếu dự án hoặc ứng dụng của bạn phụ thuộc vào các thư viện mã nguồn mở phổ biến này, có lẽ đã đến lúc kiểm tra lại các phiên bản phụ thuộc của mình.