Tin tức bảo mật mới ghi nhận một vụ xâm nhập liên quan đến lỗ hổng CVE theo nghĩa vận hành rủi ro chuỗi cung ứng, khi Trellix xác nhận đã có truy cập trái phép vào một phần kho lưu trữ mã nguồn. Sự cố được công bố công khai vào khoảng ngày 02/05/2026.
Chi tiết sự cố truy cập trái phép vào kho mã nguồn
Trellix cho biết đã phát hiện dấu hiệu xâm nhập và ngay lập tức huy động các chuyên gia giám định số để điều tra. Doanh nghiệp cũng đã thông báo cho cơ quan thực thi pháp luật.
Trong tuyên bố chính thức, Trellix nêu rõ rằng theo kết quả điều tra ban đầu, chưa ghi nhận bằng chứng cho thấy quy trình phát hành hoặc phân phối mã nguồn bị ảnh hưởng, cũng như chưa thấy dấu hiệu mã nguồn bị khai thác. Thông tin chính thức được đăng tại: https://cybersecuritynews.com/trellix-source-code-breach/.
Phạm vi dữ liệu bị truy cập trái phép chưa được xác định đầy đủ. Trellix cũng chưa xác nhận liệu ngoài mã nguồn, dữ liệu nội bộ hoặc dữ liệu khách hàng có bị truy cập hay không.
Nhóm tấn công và mốc thời gian
Nhóm ransomware tự nhận đã thực hiện cuộc tấn công mạng này và nêu ngày xâm nhập là 17/04/2026. Trên trang rò rỉ dữ liệu dark web, nhóm này công bố tên Trellix cùng một số ảnh chụp màn hình được cho là thể hiện quyền truy cập vào các dịch vụ nội bộ và bảng điều khiển quản trị.
Nhóm này đặt trạng thái vụ việc là “Evidence Depends on You”, một kỹ thuật gây áp lực nhằm buộc nạn nhân đàm phán trước khi dữ liệu bị công bố rộng rãi.
IOC liên quan đến vụ việc
- Ngày bị nghi xâm nhập: 17/04/2026
- Ngày công bố công khai: Khoảng 02/05/2026
- Trạng thái trên trang rò rỉ: Evidence Depends on You
- Dấu hiệu được công bố: Ảnh chụp màn hình truy cập dịch vụ nội bộ và dashboard quản trị
Ransomware-as-a-Service và mô hình hoạt động
Nhóm này được mô tả là một mô hình ransomware-as-a-service (RaaS). Trong các chiến dịch trước đây, nhóm thường sử dụng biến thể ransomware Mario ESXi, với mã nguồn có quan hệ với nguồn Babuk bị rò rỉ, cùng công cụ MrAgent để nhắm vào môi trường ảo hóa trên Windows và Linux.
Điểm đáng chú ý trong chuỗi tấn công là mục tiêu thường tập trung vào hạ tầng VMware ESXi. Nhóm này tận dụng domain credentials yếu và hệ thống giám sát có cấu hình không chặt để giành quyền truy cập đặc quyền.
Ở góc độ vận hành, đây là một mối đe dọa mạng cho các nhà cung cấp công nghệ, vì mã nguồn độc quyền nếu bị lộ hoặc bị khai thác có thể làm tăng rủi ro bảo mật cho nhiều hệ thống downstream.
Đánh giá ảnh hưởng hệ thống
Trellix cho biết hiện chưa có bằng chứng cho thấy chuỗi phân phối phần mềm hoặc sản phẩm dành cho khách hàng bị can thiệp. Điều này làm giảm khả năng xuất hiện thay đổi trái phép trong bản dựng hoặc gói phát hành.
Tuy vậy, việc truy cập trái phép vào kho mã nguồn vẫn là một nguy cơ bảo mật đáng kể, đặc biệt nếu kẻ tấn công có thể tiếp cận logic nội bộ, thành phần cấu hình, hoặc thông tin hỗ trợ cho việc phát hiện xâm nhập và phòng thủ.
Trong các kịch bản tương tự, tổn thất thường không chỉ dừng ở rò rỉ dữ liệu mà còn liên quan đến nguy cơ bị tái sử dụng mã nguồn cho các hoạt động phân tích, sửa đổi hoặc tìm điểm yếu phục vụ xâm nhập trái phép về sau.
Những điểm cần theo dõi trong điều tra
Hiện chưa có IOC kỹ thuật ở mức file hash, IP, domain hay YARA/Sigma được công bố trong dữ liệu nguồn. Vì vậy, trọng tâm giám sát nên đặt vào các dấu hiệu truy cập đặc quyền bất thường, thay đổi quyền trên kho mã nguồn, và các hoạt động liên quan đến dashboard quản trị.
Các nội dung kỹ thuật cần kiểm tra
- Nhật ký xác thực vào hệ thống quản lý mã nguồn.
- Lịch sử truy cập kho lưu trữ nội bộ trong khoảng thời gian bị nghi ngờ.
- Phiên đăng nhập từ tài khoản quản trị hoặc tài khoản dùng cho vận hành.
- Thay đổi bất thường trên quyền đọc, ghi, hoặc xuất dữ liệu.
- Dấu hiệu sao chép dữ liệu từ môi trường phát triển hoặc vận hành.
Liên hệ với xu hướng tấn công vào nhà cung cấp an ninh mạng
Sự cố này phản ánh xu hướng tấn công mạng nhắm vào chính các nhà cung cấp bảo mật. Khi mã nguồn độc quyền bị truy cập trái phép, rủi ro không chỉ nằm ở dữ liệu bị lộ mà còn ở khả năng kẻ tấn công nghiên cứu các cơ chế phát hiện xâm nhập, logic bảo vệ hoặc thành phần tích hợp dùng trong sản phẩm.
Trong bối cảnh đó, việc cập nhật bản vá, rà soát quyền truy cập, và giám sát kho mã nguồn là các biện pháp cốt lõi để giảm thiểu rủi ro an toàn thông tin. Các tổ chức có hệ thống phụ thuộc vào sản phẩm của nhà cung cấp cũng cần theo dõi thông báo chính thức và đánh giá lại khả năng bị ảnh hưởng dây chuyền.
Tham khảo thêm danh mục cảnh báo và phát hành an ninh liên quan tại NVD – National Vulnerability Database.
Ở góc độ điều tra, việc xác minh xem có thay đổi nào trong quy trình build, ký số, hoặc phân phối gói phần mềm hay không vẫn là ưu tiên hàng đầu. Nếu chưa có dấu hiệu can thiệp vào pipeline, nguy cơ trước mắt chủ yếu tập trung vào thông tin rò rỉ và khả năng bị lạm dụng dữ liệu nội bộ trong các giai đoạn tiếp theo.
