SecurityWeek ngày 1/4 (giờ địa phương) đưa tin một vụ tấn công chuỗi cung ứng đã nhắm vào Axios, thư viện JavaScript phổ biến trên NPM, khiến các phiên bản chứa mã độc được phát tán trong thời gian ngắn qua một gói có quy mô sử dụng rất lớn.

Google Threat Intelligence Group xác định nhóm UNC1069, có liên hệ với Triều Tiên, là thủ phạm đứng sau vụ việc. Nhóm này trước đó được cho là chủ yếu nhắm vào các công ty tiền mã hóa và tài chính phi tập trung.

Axios là thư viện trình khách HTTP phổ biến, dùng để gửi yêu cầu API bất đồng bộ trên Node.js và trình duyệt. Đây là một trong 10 gói được tải nhiều nhất trên NPM, với hơn 100 triệu lượt tải mỗi tuần và hiện diện trong khoảng 80% môi trường đám mây cùng các dự án mã nguồn.

Theo SecurityWeek, cuộc tấn công bắt đầu ngay sau nửa đêm ngày 31/3, khi kẻ tấn công đưa lên kho NPM hai phiên bản Axios 1.14.1 và 0.30.4 đã bị cài backdoor. Các bản này có thể tự động kích hoạt mã độc trên Windows, macOS và Linux mà không cần người dùng can thiệp. Khoảng ba giờ sau, chúng đã bị gỡ khỏi kho.

Wiz, công ty bảo mật đám mây, cho biết trong khoảng thời gian đó, khoảng 3% người dùng Axios đã tải phải các phiên bản bị can thiệp. SecurityWeek cũng cho hay kẻ tấn công đã chiếm quyền tài khoản quản trị chính của Axios, “@jasonsaayman”, để làm bàn đạp triển khai chiến dịch.

John Hultquist, chuyên gia phân tích cấp cao tại Google Threat Intelligence Group, cảnh báo rằng với quy mô sử dụng của Axios, sự cố này có thể gây ra “tác động trên diện rộng”.