Lỗ hổng CVE Axios: Cảnh báo nguy hiểm chuỗi cung ứng

21/04/2026
3 mins read
Lỗ hổng CVE Axios: Cảnh báo nguy hiểm chuỗi cung ứng

lỗ hổng CVE trong chuỗi cung ứng phần mềm vừa được CISA cảnh báo liên quan đến gói Axios trên hệ sinh thái npm. Sự cố này cho thấy một gói phổ biến bị xâm nhập có thể tạo ra nguy cơ bảo mật cho hàng nghìn môi trường phát triển và CI/CD phụ thuộc vào nó.

Nội dung
Cảnh báo bảo mật chuỗi cung ứng phần mềm với Axios
Phạm vi ảnh hưởng của lỗ hổng CVE trong Axios
Hành vi khai thác và chuỗi tải payload
Hành động kiểm tra và giảm thiểu rủi ro bảo mật
Hướng dẫn kiểm tra nhanh trong môi trường CLI
Giám sát phát hiện xâm nhập trong môi trường phát triển
IOC và dấu hiệu cần lưu ý
Rà soát chuỗi cung ứng phần mềm và bảo mật npm

Cảnh báo bảo mật chuỗi cung ứng phần mềm với Axios

Ngày 20/04/2026, CISA công bố cảnh báo về việc gói Axios trong hệ sinh thái Node Package Manager (npm) bị xâm phạm vào ngày 31/03/2026. Thông tin chi tiết từ cảnh báo của CISA có thể tham khảo tại cisa.gov.

Cuộc tấn công mạng nhắm vào các bản cập nhật phần mềm cụ thể, nơi kẻ tấn công chèn thêm một dependency độc hại. Khi nhà phát triển cài đặt các bản cập nhật bị ảnh hưởng, dependency này âm thầm tải về các payload nhiều giai đoạn từ hạ tầng của đối tượng tấn công, sau đó triển khai một remote access trojan (RAT) trên máy nạn nhân.

Phạm vi ảnh hưởng của lỗ hổng CVE trong Axios

Nhóm nghiên cứu bảo mật từ Microsoft và GitHub ghi nhận mã độc nhắm vào các phiên bản Axios 1.14.10.30.4. Dependency bị chèn là [email protected], được sử dụng để thực thi hành vi tải xuống độc hại.

Không có mã CVE hoặc CVSS được nêu trong nguồn gốc, nhưng đây vẫn là một cảnh báo CVE theo ngữ cảnh vận hành vì tác động nằm ở chuỗi cung ứng phần mềm, không phải một lỗi đơn lẻ trong mã ứng dụng cuối.

Ảnh hưởng kỹ thuật chính gồm:

  • Thiết lập backdoor vào môi trường phát triển.
  • Cho phép đánh cắp mã nguồn và thông tin nhạy cảm.
  • Hỗ trợ sửa đổi ứng dụng trong quá trình phát triển hoặc build.
  • Có thể mở rộng sang các hệ thống nội bộ khác nếu attacker pivot thành công.

Hành vi khai thác và chuỗi tải payload

Phần mềm bị ảnh hưởng không chỉ tải dependency độc hại mà còn kích hoạt chuỗi thực thi nhiều bước. Đây là đặc trưng thường gặp trong khai thác zero-day hoặc các chiến dịch remote code execution thông qua chuỗi cung ứng, dù trường hợp này không được mô tả là zero-day theo nghĩa CVE truyền thống.

Sau khi cài đặt, RAT có thể được dùng để chiếm quyền truy cập vào môi trường phát triển, từ đó hỗ trợ:

  • Đánh cắp source code.
  • Can thiệp vào ứng dụng trước khi phát hành.
  • Exfiltration dữ liệu từ hệ thống phát triển.
  • Di chuyển ngang trong mạng nội bộ.

Hành động kiểm tra và giảm thiểu rủi ro bảo mật

CISA khuyến nghị các tổ chức rà soát ngay code repositories, máy phát triển và CI/CD pipelines. Nếu đã chạy npm install hoặc npm update với các phiên bản bị xâm phạm, cần thực hiện kiểm tra và cô lập theo quy trình an toàn thông tin nội bộ.

Các biện pháp giảm thiểu được nêu trong nguồn gồm siết chặt vệ sinh bảo mật npm và thiết lập hành vi chuẩn cho các công cụ sử dụng Axios. Điều này giúp phát hiện sai lệch khi tiến trình thực thi, tải gói hoặc truy cập mạng không khớp với baseline.

Hướng dẫn kiểm tra nhanh trong môi trường CLI

npm ls axios
npm audit
npm view axios versions --json

Ba lệnh trên giúp xác định phiên bản đang dùng, kiểm tra cảnh báo phụ thuộc và đối chiếu danh sách phát hành. Với môi trường build, nên rà soát cả lockfile để phát hiện dependency bị thay đổi ngoài ý muốn.

Giám sát phát hiện xâm nhập trong môi trường phát triển

Khuyến nghị từ CISA và các hãng bảo mật độc lập như Socket và StepSecurity tập trung vào phát hiện xâm nhập liên tục bằng EDR để tìm các chỉ báo tồn tại sau khi sự cố xảy ra. Việc giám sát này đặc biệt cần thiết với môi trường có nhiều thao tác build tự động và npm package được cập nhật thường xuyên.

Đội ngũ an ninh nên theo dõi:

  • Tiến trình npm gọi ra kết nối bất thường.
  • File dependency mới xuất hiện ngoài luồng build chuẩn.
  • Hoạt động tải payload nhiều giai đoạn từ domain hoặc IP lạ.
  • Dấu hiệu hệ thống bị xâm nhập trên máy phát triển và máy CI.

IOC và dấu hiệu cần lưu ý

Nội dung gốc không cung cấp IOC chi tiết như hash, domain, IP hay tên file cụ thể. Các dấu hiệu điều tra có thể trích xuất trực tiếp từ sự cố gồm:

  • Axios 1.14.1
  • Axios 0.30.4
  • [email protected]
  • Hành vi npm install hoặc npm update trên bản bị ảnh hưởng
  • Tải payload nhiều giai đoạn từ hạ tầng bên ngoài
  • Hoạt động của remote access trojan (RAT) trên máy phát triển

Rà soát chuỗi cung ứng phần mềm và bảo mật npm

Sự cố này nhấn mạnh rằng lỗ hổng CVE không phải lúc nào cũng nằm ở ứng dụng cuối; rủi ro có thể xuất phát từ dependency và pipeline build. Với môi trường dùng Axios, việc kiểm tra version, lockfile, cache npm và các script hậu cài đặt cần được đưa vào quy trình thường trực.

Trong bối cảnh mối đe dọa mạng vào chuỗi cung ứng ngày càng phổ biến, việc duy trì baseline hành vi chuẩn cho toolchain, giám sát EDR và rà soát định kỳ kho mã là các bước bắt buộc để giảm nguy cơ bảo mật từ gói phụ thuộc bị xâm phạm.