Tin tặc Triều Tiên cài mã độc qua chuỗi cung ứng, hàng nghìn công ty Mỹ đối mặt rủi ro

Cao Vân
•
Thứ Năm, 02/04/2026

Lĩnh vực an ninh mạng của Mỹ lại vừa ghi nhận một sự cố nghiêm trọng. Hôm thứ Ba (31/3), các chuyên gia bảo mật tiết lộ một nhóm tin tặc bị nghi có liên hệ với Triều Tiên đã tiến hành một cuộc tấn công chuỗi cung ứng nhằm vào một phần mềm được hàng nghìn công ty Mỹ sử dụng. Tin tặc đã cài cắm mã độc vào bản cập nhật.. Phạm vi ảnh hưởng được đánh giá là rất rộng. Công tác rà soát, làm sạch cũng như khắc phục hậu quả có thể sẽ kéo dài nhiều tháng.

Ảnh minh họa. (Nguồn: Oleksii Pydsosonnii/Epoch Times)

Theo CNN dẫn lời giới chuyên gia an ninh mạng, cuộc tấn công này nhiều khả năng là một chiến dịch kéo dài, với mục tiêu chính là đánh cắp tiền mã hóa để tài trợ cho các hoạt động liên quan đến chế độ Triều Tiên. Giới phân tích nhận định số tiền này thường được dùng để hỗ trợ các chương trình vũ khí hạt nhân và tên lửa của nước này.

Theo thông tin được công bố, vụ tấn công diễn ra chỉ trong khoảng ba giờ vào sáng thứ Ba (31/3). Tin tặc đã chiếm được tài khoản của một nhà phát triển phần mềm phụ trách gói phần mềm mã nguồn mở có tên Axios. Sau đó, tin tặc lợi dụng quyền đó để cài mã độc vào các phiên bản cập nhật. Bất kỳ tổ chức nào tải về và cài đặt bản cập nhật trong khung thời gian đó đều có nguy cơ bị ảnh hưởng. Sau khi phát hiện sự cố, nhà phát triển đã khẩn trương tìm cách giành lại quyền kiểm soát tài khoản, trong khi các đội ngũ an ninh mạng trên khắp nước Mỹ nhanh chóng vào cuộc điều tra, rà soát và đánh giá thiệt hại.

Phần mềm Axios được sử dụng rộng rãi trong nhiều lĩnh vực, từ y tế, tài chính cho tới công nghệ, chủ yếu để hỗ trợ việc xây dựng và quản lý website, ứng dụng thông qua thư viện giao tiếp HTTP cho JavaScript Một số doanh nghiệp tiền mã hóa và doanh nghiệp công nghệ hoạt động trong lĩnh vực tài sản số cũng dùng phần mềm này, khiến tác động tiềm tàng đối với thị trường tài sản số đặc biệt đáng lo ngại.

Công ty tình báo an ninh mạng Mandiant thuộc Google cho biết một nhóm tin tặc bị nghi có liên hệ với Triều Tiên là thủ phạm đứng sau vụ tấn công lần này. Giám đốc công nghệ của Mandiant, ông Charles Carmakal, nhận định tin tặc có thể sẽ lợi dụng các quyền truy cập hệ thống và thông tin xác thực thu được qua cuộc tấn công chuỗi cung ứng này để tiếp tục mở rộng các cuộc xâm nhập, nhắm vào doanh nghiệp nhằm đánh cắp tiền mã hóa. Ông cảnh báo việc đánh giá đầy đủ hiệu tác động dây chuyền của chiến dịch này có thể sẽ mất nhiều tháng.

Theo Reuters dẫn phân tích của công ty an ninh mạng Elastic Security Labs, tin tặc đã triển khai các biến thể mã độc có khả năng lây nhiễm trên cả ba hệ điều hành: Apple macOS, Microsoft Windows và Linux. Công ty cho biết cách thức tấn công này giống như xây dựng một “cơ chế phát tán” (delivery mechanism), với phạm vi tác động tiềm tàng có thể lan tới “hàng triệu môi trường hệ thống”, dù hiện vẫn chưa rõ số lượng hệ thống bị nhiễm.

Các nhà nghiên cứu tại công ty an ninh mạng Huntress cho hay họ đã phát hiện khoảng 135 thiết bị bị xâm nhập, thuộc khoảng 12 công ty. Tuy nhiên, chuyên gia John Hammond nhấn mạnh đây mới chỉ là “phần nổi của tảng băng”, và khi ngày càng nhiều doanh nghiệp tiến hành rà soát nội bộ, phạm vi bị ảnh hưởng dự kiến sẽ tăng nhanh.

Đây không phải là lần đầu các nhóm tin tặc liên quan tới Triều Tiên tiến hành những đợt tấn công kiểu này. Ba năm trước, các cá nhân bị nghi liên hệ với Triều Tiên đã bị cáo buộc xâm nhập một nhà cung cấp phần mềm phổ biến khác, vốn được nhiều cơ sở y tế và tập đoàn khách sạn sử dụng cho dịch vụ thoại và hội nghị truyền hình.

Giới phân tích cho rằng tấn công mạng đã trở thành một trong những nguồn tài chính quan trọng đối với Triều Tiên. Theo các báo cáo của Liên Hợp Quốc và nhiều tổ chức tư nhân, trong những năm gần đây, tin tặc Triều Tiên đã đánh cắp hàng chục tỷ USD từ các ngân hàng và công ty tiền mã hóa. Một quan chức Nhà Trắng từng cho biết vào năm 2023 rằng khoảng một nửa nguồn tài chính cho chương trình tên lửa của Triều Tiên đến từ các vụ trộm cắp kỹ thuật số như vậy.

Chỉ tính riêng trong năm ngoái, tin tặc Triều Tiên bị cáo buộc đã đánh cắp tới 1,5 tỷ USD tiền mã hóa trong một vụ tấn công, lập kỷ lục thế giới về vụ hack tiền mã hóa lớn nhất thời điểm đó.

Ông Ben Read, Giám đốc tình báo chiến lược của công ty an ninh mạng Wiz (thuộc Google Cloud), nhận định Triều Tiên hầu như không bận tâm tới việc bị nhận diện hay bị dư luận quốc tế lên án; ngay cả khi chiến dịch công khai, rủi ro cao, Bình Nhưỡng vẫn sẵn sàng đánh cược để đổi lấy nguồn tài chính.

Ngoài ra, các chuyên gia chỉ ra rằng thời điểm diễn ra vụ tấn công lần này đặc biệt nguy hiểm. Ngày càng nhiều doanh nghiệp phụ thuộc vào các “AI agents” (tác tử AI) trong quá trình phát triển phần mềm, nhưng quy trình liên quan lại thường thiếu khâu rà soát và kiểm soát an ninh đầy đủ, khiến chuỗi cung ứng phần mềm trở thành điểm yếu mới.

Các nhà nghiên cứu cũng cảnh báo rằng trong bối cảnh hiện nay, nhiều tổ chức vẫn đang áp dụng cách tiếp cận “mặc định tin tưởng” đối với các bản cập nhật phần mềm, thiếu đi những kiểm tra an ninh cần thiết, khiến toàn bộ hệ sinh thái phần mềm phải đối mặt với rủi ro cao hơn.