Vào ngày 31 tháng 3 vừa qua, dự án mã nguồn mở Axios – một trong những thư viện phổ biến nhất được các lập trình viên sử dụng để kết nối ứng dụng với internet – đã bị chiếm quyền điều khiển trong một thời gian ngắn. Cuộc tấn công này không phải là một sự cố ngẫu nhiên mà là kết quả của một chiến dịch tinh vi kéo dài nhiều tuần do các tin tặc Triều Tiên thực hiện. Mục tiêu trọng tâm của nhóm tội phạm mạng này là nhắm vào những nhà phát triển cốt cán nhằm chèn mã độc vào các dự án có tầm ảnh hưởng lớn, vốn có khả năng tiếp cận hàng triệu thiết bị trên toàn cầu.
Jason Saayman, người duy trì dự án Axios, đã công bố một bản phân tích chi tiết cho thấy các tin tặc đã dành khoảng hai tuần để xây dựng lòng tin với ông trước khi chiếm quyền kiểm soát máy tính cá nhân. Chúng giả danh một công ty thực thụ, thiết lập không gian làm việc trên Slack với các hồ sơ nhân viên giả mạo trông rất chuyên nghiệp để gia tăng uy tín. Sau khi tạo được sự tin tưởng, nhóm này mời Saayman tham gia một cuộc họp trực tuyến và lừa ông tải xuống một bản cập nhật phần mềm giả mạo để truy cập cuộc gọi, thực chất là mã độc cho phép điều khiển máy tính từ xa.
Sau khi chiếm được quyền truy cập, các tin tặc đã phát hành hai gói cập nhật chứa mã độc lên dự án Axios. Dù các gói này đã bị gỡ bỏ sau khoảng ba giờ kể từ khi xuất bản, chúng vẫn có nguy cơ lây nhiễm cho hàng ngàn hệ thống trong khoảng thời gian ngắn ngủi đó. Bất kỳ máy tính nào cài đặt phiên bản độc hại này đều có thể bị đánh cắp khóa riêng tư (private keys), thông tin xác thực và mật khẩu. Những dữ liệu nhạy cảm này thường là bước đệm để tin tặc thực hiện các vụ xâm nhập sâu hơn vào hạ tầng doanh nghiệp hoặc đánh cắp tài sản số.
Kỹ thuật tấn công này có nhiều điểm tương đồng với các chiến dịch trước đây của Triều Tiên từng được các nhà nghiên cứu bảo mật tại Google ghi nhận. Theo ước tính, các nhóm tin tặc thuộc chính quyền Kim Jong Un đã đánh cắp ít nhất 2 tỷ USD tiền điện tử chỉ riêng trong năm 2025 để tài trợ cho các chương trình bị quốc tế trừng phạt. Với đội ngũ hàng ngàn tin tặc hoạt động có tổ chức, chúng thường xuyên sử dụng các thủ đoạn thao túng tâm lý (social engineering) phức tạp, chấp nhận đầu tư nhiều tháng trời để tiếp cận các mục tiêu có giá trị cao.
Vụ tấn công vào Axios là lời cảnh báo nghiêm trọng về tính bảo mật của hệ sinh thái mã nguồn mở, nơi mà sự tin tưởng giữa các cá nhân có thể bị lợi dụng để gây ra thiệt hại trên diện rộng. Các lập trình viên và tổ chức cần nâng cao cảnh giác trước các yêu cầu cài đặt phần mềm lạ từ đối tác mới, đồng thời áp dụng nghiêm ngặt các biện pháp xác thực đa yếu tố và kiểm tra kỹ lưỡng các thay đổi trong mã nguồn. Việc bảo vệ các dự án cộng đồng đòi hỏi sự giám sát chặt chẽ và tư duy phản biện từ mọi thành viên để ngăn chặn những rủi ro tương tự trong tương lai.
