TrapDoor tấn công chuỗi cung ứng: 34 phần mềm độc hại chỉ trộm ví tiền mã hóa, chôn lấp lệnh ẩn trong CLAUDE.md

TrapDoor cung cấp chuỗi tấn công nhắm vào nhà phát triển, triển khai 34 bộ phần mềm độc hại để đánh cắp ví tiền mã hóa và khoá riêng. Hacker còn chèn lệnh ẩn trong tệp cấu hình, chiếm quyền kiểm soát trợ lý AI như Claude để lấy cắp bí mật, nhà phát triển cần cảnh giác nghiêm ngặt.

Tiết lộ tấn công chuỗi cung ứng TrapDoor: Nhắm vào nhà phát triển tiền mã hóa và AI

Công ty an ninh mạng Socket Security mới đây đã công bố một báo cáo tiết lộ rằng một chuỗi tấn công mang mã số "TrapDoor" đang lan rộng nhanh chóng.

Socket Security chỉ ra rằng, tấn công TrapDoor đã triển khai hơn 34 bộ phần mềm độc hại và hơn 384 phiên bản liên quan trong ba hệ thống quản lý bộ phần mềm nhà phát triển lớn là npm, PyPI và Crates.io, nhằm vào nhà phát triển trong lĩnh vực tiền mã hóa, tài chính phi tập trung (DeFi), AI và an ninh mạng.

• Nhấn vào đây để xem danh sách các bộ phần mềm độc hại và phiên bản do Socket Security tổng hợp

Các bộ phần mềm độc hại này được thiết kế để thu thập rộng rãi thông tin bí mật của nhà phát triển. Dữ liệu hacker cố gắng lấy cắp bao gồm khoá SSH, chứng chỉ dịch vụ đám mây, token truy cập GitHub, dữ liệu trình duyệt, khoá API ứng dụng, cùng dữ liệu ví tiền mã hóa trong các hệ sinh thái như Solana, Sui và Aptos.

Sau khi thu thập dữ liệu nhạy cảm, hacker có thể trực tiếp đánh cắp tài sản mã hóa hoặc biến máy tính của nhà phát triển thành bàn đạp để xâm nhập sâu hơn vào các hạ tầng khác.

Cơ chế ẩn nấp và chiếm quyền AI của TrapDoor

Trong tấn công TrapDoor, hacker đã thiết kế cẩn thận tên bộ phần mềm để trông giống như công cụ hỗ trợ hợp pháp. Ví dụ như trong hệ thống npm với crypto-credential-scanner hoặc trong Crates.io với sui-move-build-helper, khiến nhà phát triển vô tình tải xuống và chạy mã độc trong quá trình xây dựng dự án bình thường.

Socket Security cho biết, các phần mềm độc hại này sẽ tận dụng các đường dẫn thực thi đặc thù của từng hệ sinh thái để kích hoạt, như hook sau cài đặt của npm, khi import của Python hoặc trong script biên dịch build.rs của Rust.

Điểm đáng chú ý nhất của chiến dịch tấn công lần này là cơ chế chiếm quyền các công cụ viết mã hỗ trợ AI. Hacker sẽ chèn lệnh ẩn chứa ký tự Unicode có chiều rộng bằng không trong các tệp dự án như .cursorrules hoặc CLAUDE.md.

Giám đốc kỹ thuật của Socket Security, Ahmad Nassri, cho biết mục tiêu của hacker là lừa đảo các trợ lý AI như Claude và Cursor, khiến chúng thực thi quét bảo mật hệ thống trong môi trường phát triển. Thực tế, các hoạt động quét này sẽ âm thầm thu thập và gửi ra các bí mật cấu hình cùng biến môi trường của nhà phát triển.

Nguồn hình ảnh: Trong tệp SocketAUDIT-MATRIX.md, đã tổng hợp khung dự kiến tấn công phần mềm độc hại TrapDoor

Các nhà nghiên cứu còn phát hiện rằng, hacker thậm chí đã gửi các yêu cầu kéo (Pull Request, gọi tắt PR) trên GitHub tới nhiều dự án mã nguồn mở nổi tiếng về AI và nhà phát triển, nhằm mục đích thêm các tệp chứa lệnh ẩn độc hại vào quy trình làm việc mở bình thường, bằng các lý do hợp lệ như tiêu chuẩn phát triển hoặc xác thực xây dựng.

Nếu nhóm phát triển chấp nhận các yêu cầu này, các lập trình viên đọc mã dự án trong tương lai sẽ vô tình kích hoạt cơ chế rò rỉ dữ liệu mà không hay biết.

Gần đây, tấn công độc hại vào bộ phần mềm TanStack cũng nhắm vào hệ sinh thái AI

Gần đây, các cuộc tấn công chuỗi cung ứng vào môi trường phát triển ngày càng trở nên phổ biến và phức tạp hơn.

Mới đây, đã xảy ra một cuộc tấn công quy mô lớn vào bộ phần mềm TanStack, nhắm vào hệ sinh thái AI, bằng cách chèn mã độc vào các trình chỉnh sửa như VS Code và Claude Code, để đánh cắp token truy cập GitHub và chứng chỉ đám mây của nhà phát triển.

Giám đốc kỹ thuật của ví lạnh Ledger, Charles Guillemet, nhận định rằng, kỹ thuật của hacker đã trở nên cực kỳ tinh vi, khiến việc phòng thủ ngày càng khó khăn hơn.

• **Báo cáo liên quan:**Cảnh báo người dùng Claude Code! TanStack NPM bị tấn công độc hại, tải xuống tới 12,7 triệu lần mỗi tuần

Tấn công chuỗi cung ứng ngày càng phổ biến, cần thận trọng khi tải bộ phần mềm và chấp nhận PR

Hacker đang tích cực kết hợp các thủ thuật nhầm lẫn tên bộ phần mềm truyền thống với các phương thức tấn công mới trong môi trường AI. Do các nền tảng như GitHub đã bị lợi dụng để chứa payload độc hại và phân phối cấu hình, các nhóm phát triển cần kiểm tra chặt chẽ hơn khi đưa vào bất kỳ phụ thuộc bên ngoài hoặc chấp nhận pull request.

Việc cài đặt phần mềm chỉ là bước đầu của cuộc tấn công, các hoạt động tiếp theo như chỉnh sửa cấu hình AI, lập lịch hệ thống và kết nối mạng đều tiềm ẩn rủi ro, khiến các biện pháp bảo mật ngày càng khó khăn. Khi tải các bộ phần mềm mã nguồn mở từ các hệ quản lý lớn, nhà phát triển cần kiểm tra kỹ tên bộ phần mềm, nguồn phát hành và độ an toàn của hạ tầng liên quan để tránh trở thành nạn nhân của tấn công chuỗi cung ứng.