Bản tin An toàn thông tin tuần số 02

Toàn cảnh về những sự kiện, tin tức nổi bật về bảo mật và an toàn thông tin trong Tuần 21 (19/5 - 25/5), Bản tin gồm các sự kiện nổi bật: Cơ quan Trợ giúp pháp lý Anh bị tin tặc tấn công, 25 loại mã độc được phát hiện trong vụ tấn công mạng SK Telecom, Bản cập nhật khẩn cấp của Windows 10 khắc phục sự cố BitLocker Recovery, Cảnh báo hơn 100 tiện ích mở rộng độc hại giả mạo Chrome để đánh cắp dữ liệu, Dữ liệu của Chính phủ Hoa Kỳ bị đánh cắp trong vụ tấn công TeleMessage,… Đặc biệt là Vietnam Security Summit 2025: Bảo đảm an ninh mạng và tạo lập niềm tin trong kỷ nguyên mới, hội thảo vừa được diễn ra tại TPHCM trong tuần qua.

ĐIỂM TIN TRONG NƯỚC

Vietnam Security Summit 2025: Bảo đảm an ninh mạng và tạo lập niềm tin trong kỷ nguyên mới

Ngày 23/5, tại TP.HCM đã diễn ra Hội thảo và Triển lãm quốc tế Vietnam Security Summit 2025 lần thứ bảy. Với chủ đề “Bảo đảm an ninh mạng và tạo lập niềm tin trong kỷ nguyên mới”, sự kiện đã quy tụ hơn 1.000 đại biểu, lãnh đạo, chuyên gia an ninh mạng đến từ các Bộ, ngành, doanh nghiệp hàng đầu trong nước và quốc tế.

Trong khuôn khổ sự kiện đã diễn ra 03 phiên Hội thảo chuyên đề bao gồm: Bảo vệ dữ liệu và quyền riêng tư trong kỷ nguyên AI; Bảo mật đám mây trong thế giới số; Bảo đảm an ninh hạ tầng công nghệ thông tin quan trọng. Đại diện Ban Cơ yếu Chính phủ, ông Nguyễn Viết Phan, Phó Giám đốc Trung tâm Công nghệ thông tin và Giám sát an ninh mạng chủ trì Hội thảo chuyên đề 2 với chủ đề Bảo mật đám mây trong thế giới số, với nhiều báo cáo đến từ các chuyên gia của HPE, VSEC, VEEAM, CMC Telecom, VNETWORK, xoay quanh những xu hướng tấn công mới và các phương pháp hiệu quả để tăng cường bảo mật đám mây, đặc biệt là ứng dụng AI để bảo mật toàn diện Web, ứng dụng, API và email trước các cuộc tấn công mạng.

Ngăn chặn các hoạt động của Telegram tại Việt Nam

Ngày 21/5, Cục Viễn thông (Bộ Khoa học và Công nghệ) vừa có văn bản về việc ngăn chặn hoạt động của Telegram có dấu hiệu vi phạm pháp luật. Cục Viễn thông yêu cầu các doanh nghiệp viễn thông khẩn trương thực hiện các biện pháp ngăn chặn Telegram, báo cáo phương án và kết quả thực hiện về cục trước ngày 2-6-2025.

Trước đó, Cục Viễn thông nhận được văn bản của Cục An ninh mạng và Phòng, chống tội phạm sử dụng công nghệ cao (Bộ Công an) về việc phối hợp ngăn chặn hoạt động của Telegram tại Việt Nam. Cơ quan chức năng cho biết khoảng 68% kênh và nhóm trên Telegram chứa nội dung không phù hợp, bao gồm lừa đảo, thông tin sai lệch, hoặc nội dung vi phạm pháp luật. Nhiều hội, nhóm với hàng chục nghìn đối tượng tham gia, do các đối tượng chống đối, phản động tạo lập, phát tán tài liệu chống phá, xảy ra nhiều vụ việc liên quan đến lừa đảo, rao bán dữ liệu người dùng, ma túy; có trường hợp nghi vấn liên quan đến khủng bố,…

ĐIỂM TIN QUỐC TẾ

Cơ quan Trợ giúp pháp lý Anh bị tin tặc tấn công

Ngày 19/5, Cơ quan Trợ giúp pháp lý Anh (trực thuộc Bộ Tư pháp) cho biết tin tặc đã truy cập và đánh cắp một số lượng lớn dữ liệu cá nhân, trong đó có lý lịch tư pháp, của những người xin hỗ trợ pháp lý kể từ năm 2010.

Cơ quan Trợ giúp pháp lý cho biết cuộc tấn công mạng này có quy mô lớn hơn dự đoán ban đầu và tin tặc có thể đã truy cập các thông tin cá nhân của những người xin trợ giúp pháp lý như địa chỉ, ngày sinh, số căn cước hay dữ liệu tài chính, khiến cơ quan này phải ngừng dịch vụ trực tuyến.

25 loại mã độc được phát hiện trong vụ tấn công mạng SK Telecom

Liên quan tới vụ hãng viễn thông SK Telecom (SKT) của Hàn Quốc bị tin tặc tấn công ngày 19/5, nhóm điều tra cho biết đã kiểm tra tổng cộng 4 đợt với khoảng 30.000 máy chủ có hệ điều hành Linux của SKT và phát hiện 25 loại mã độc trên 23 máy chủ. Ngoài 4 loại mã độc từng được công bố trong đợt phân tích đầu tiên vào ngày 29/4, nhóm điều tra trong đợt hai đã phát hiện thêm 21 loại mới, trong đó có một loại mã độc dạng Web Shell, các loại còn lại đều thuộc dòng mã độc backdoor BPFDoor. Qua phân tích chi tiết 15 trong số 23 máy chủ bị nhiễm mã độc, nhóm điều tra xác định có hai máy chủ liên kết với hệ thống xác thực khách hàng tích hợp đã bị rò rỉ nhiều thông tin cá nhân, gồm mã nhận diện thiết bị di động quốc tế (IMEI), họ tên, ngày tháng năm sinh, số điện thoại và địa chỉ email.

Microsoft công bố tính năng “Advanced Settings” mới cho Windows 11

Mới đây, Microsoft đã công bố tính năng “Advanced Settings” mới để giúp người dùng và nhà phát triển cá nhân hóa trải nghiệm hệ điều hành. Với tính năng mới, người dùng có thể tùy chỉnh một số tính năng của Windows 11, chẳng hạn như File Explorer và máy ảo.

Thực hiện như sau: Truy cập trang Advanced Settings mới từ Settings > System > Advanced. Trang này thay thế tab “For developers” trong Settings và giữ nguyên tất cả các tính năng.

Bản cập nhật khẩn cấp của Windows 10 khắc phục sự cố BitLocker Recovery

Microsoft đã phát hành bản cập nhật bảo mật để khắc phục sự cố khiến hệ thống Windows 10 khởi động vào chế độ BitLocker Recovery sau khi cài đặt bản bản vá tháng 5/2025. Đây cũng là bản cập nhật tích lũy, nghĩa là người dùng sẽ không phải cài đặt bất kỳ bản cập nhật nào trước đó, trước khi triển khai bản vá lỗi cho sự cố BitLocker Recovery ảnh hưởng đến thiết bị của người dùng.

Microsoft cho biết sự cố này ảnh hưởng đến các hệ thống Windows 10 22H2, Windows 10 Enterprise LTSC 2021 và Windows 10 IoT Enterprise LTSC 2021 với bộ xử lý Intel vPro (thế hệ thứ 10 trở lên) có kích hoạt Intel Trusted Execution Technology (TXT).

Nhà mạng di động Cellcom xác nhận cuộc tấn công mạng gây ra tình trạng mất điện kéo dài

Mới đây, nhà cung cấp dịch vụ không dây Cellcom đã xác nhận rằng một cuộc tấn công mạng là nguyên nhân gây ra tình trạng mất điện và gián đoạn dịch vụ trên diện rộng bắt đầu vào tối ngày 14/5/2025. Sự cố này đã làm gián đoạn dịch vụ thoại và tin nhắn SMS cho khách hàng trên khắp Wisconsin và Michigan, khiến người đăng ký không thể gọi điện thoại hoặc gửi tin nhắn văn bản.

Coinbase cho biết vụ vi phạm dữ liệu gần đây ảnh hưởng đến 69.461 khách hàng

Coinbase, một sàn giao dịch tiền điện tử với hơn 100 triệu khách hàng, tiết lộ rằng một vụ vi phạm dữ liệu gần đây trong đó tội phạm mạng đã đánh cắp dữ liệu khách hàng và công ty đã ảnh hưởng đến 69.461 cá nhân. Mặc dù dữ liệu bị lộ không bao gồm mật khẩu, seed phrase, khóa bí mật hoặc thông tin khác có thể được sử dụng để truy cập vào tiền, hoặc tài khoản của những người bị ảnh hưởng, nhưng dữ liệu này bao gồm sự kết hợp của các thông tin nhận dạng cá nhân như tên, ngày sinh, bốn chữ số cuối của số an sinh xã hội, số tài khoản ngân hàng được che giấu và một số thông tin nhận dạng tài khoản ngân hàng, địa chỉ, số điện thoại và địa chỉ email.

Tùy thuộc vào khách hàng bị ảnh hưởng, thông tin bị đánh cắp cũng có thể bao gồm hình ảnh thông tin nhận dạng do chính phủ cấp (ví dụ: số giấy phép lái xe, số hộ chiếu, số chứng minh thư nhân dân) và thông tin tài khoản (bao gồm lịch sử giao dịch, số dư, chuyển khoản, ngày mở tài khoản). Coinbase cảnh báo: “Những kẻ tấn công tìm kiếm thông tin này vì chúng muốn thực hiện các cuộc tấn công kỹ nghệ xã hội, sử dụng thông tin này để tỏ ra đáng tin cậy nhằm thuyết phục nạn nhân chuyển tiền của họ”.

Mã độc tống tiền 3AM sử dụng các cuộc gọi hỗ trợ giả mạo, email bombing để xâm nhập hệ thống mạng

Một chi nhánh của mã độc tống tiền 3AM đang tiến hành các cuộc tấn công có mục tiêu cao bằng cách gửi email spam và các cuộc gọi hỗ trợ công nghệ thông giả mạo, nhằm đánh lừa nhân viên cung cấp thông tin đăng nhập để truy cập từ xa vào hệ thống của công ty. Những cuộc tấn công này liên quan đến kỹ thuật của nhóm tin tặc BlackBasta , bao gồm email bombing, vishing qua Microsoft Teams và lạm dụng Quick Assist. Việc rò rỉ các cuộc trò chuyện nội bộ của Black Basta đã giúp những kẻ tấn công khác bắt kịp kỹ thuật của nhóm này, vì nó bao gồm một mẫu để sử dụng trong các cuộc tấn công lừa đảo Microsoft Teams mạo danh bộ phận trợ giúp công nghệ thông.

Lỗ hổng bảo mật nghiêm trọng chưa được vá trong Versa Concerto dẫn đến vượt qua xác thực và thực thi mã từ xa

Các lỗ hổng nghiêm trọng trong Versa Concerto vẫn chưa được vá có thể cho phép kẻ tấn công từ xa vượt qua xác thực và thực thi mã tùy ý trên các hệ thống bị ảnh hưởng. Ba lỗ hổng bảo mật, trong đó có hai lỗ hổng nghiêm trọng, đã được các nhà nghiên cứu tại công ty quản lý lỗ hổng ProjectDiscovery (Hoa Kỳ) tiết lộ công khai sau khi báo cáo với nhà cung cấp và không nhận được xác nhận về việc các lỗ hổng đã được giải quyết. Được biết, Versa Concerto là nền tảng quản lý và điều phối tập trung cho các giải pháp SD-WAN và SASE (Secure Access Service Edge) của Versa Networks.

Nhóm tin tặc UAT-6382 xâm nhập vào chính quyền địa phương Hoa Kỳ bằng cách khai thác lỗ hổng Cityworks zero-day

Nhóm tin tặc UAT-6382 tuần vừa qua đã khai thác lỗ hổng zero-day của Trimble Cityworks hiện đã được vá để xâm nhập vào nhiều cơ quan chính quyền địa phương trên khắp Hoa Kỳ. Trimble Cityworks là phần mềm quản lý tài sản và quản lý lệnh làm việc, chủ yếu được chính quyền địa phương, các tổ chức tiện ích và công trình công cộng sử dụng, được thiết kế để giúp quản lý tài sản công, xử lý giấy phép và cấp phép, cũng như xử lý lệnh làm việc.

Các tin tặc đã sử dụng trình tải phần mềm độc hại dựa trên Rust để triển khai các beacon Cobalt Strike và phần mềm độc hại Vshell, được thiết kế để tạo backdoor trên các hệ thống bị xâm phạm và cung cấp quyền truy cập liên tục trong thời gian dài, cũng như các webshell và công cụ độc hại tùy chỉnh được viết bằng tiếng Trung.

Cảnh báo hơn 100 tiện ích mở rộng độc hại giả mạo Chrome để đánh cắp dữ liệu

Các nhà nghiên cứu đến từ công ty tình báo mối đe dọa DomainTools (Hoa Kỳ) cho biết: “Kẻ tấn công tạo ra các trang web ngụy trang thành các dịch vụ hợp pháp, trợ lý phân tích hoặc tạo quảng cáo và phương tiện truyền thông, dịch vụ VPN, tiền điện tử, ngân hàng,… để hướng dẫn người dùng cài đặt tiện ích mở rộng độc hại tương ứng trên cửa hàng Chrome Web Storte của Google (CWS)”.

Mặc dù các tiện ích bổ sung cho trình duyệt dường như cung cấp các tính năng được quảng cáo, nhưng chúng cũng cho phép đánh cắp thông tin đăng nhập và cookie, chiếm quyền điều khiển phiên, chèn quảng cáo, chuyển hướng độc hại, thao túng lưu lượng truy cập và phishing. Một yếu tố khác có lợi cho tiện ích mở rộng là chúng được cấu hình để tự cấp cho mình các quyền quá mức thông qua tệp manifest[.]json, cho phép chúng tương tác với mọi trang web được truy cập trên trình duyệt, thực thi mã tùy ý lấy từ tên miền do kẻ tấn công kiểm soát, thực hiện chuyển hướng độc hại và thậm chí chèn quảng cáo.

Tây Ban Nha sập mạng viễn thông và Internet

Ngày 20/5, Tây Ban Nha đã gặp phải sự cố sập mạng viễn thông quy mô lớn, khiến hàng triệu người không thể truy cập Internet, gọi điện thoại hoặc sử dụng dữ liệu di động. Sự cố cũng ảnh hưởng nghiêm trọng đến các đường dây nóng, trong đó có số điện thoại cứu hộ khẩn cấp toàn châu Âu 112. Theo truyền thông địa phương, sự cố xảy ra tại hầu hết các thành phố lớn của Tây Ban Nha, trong đó có Madrid, Malaga, Barcelona, Valencia, Murcia, Seville và Bilbao. Sự cố dường như có liên quan đến hoạt động nâng cấp mạng của tập đoàn viễn thông lớn thứ 2 nước này là Telefónica. Tất cả các nhà cung cấp dịch vụ viễn thông lớn tại Tây Ban Nha, bao gồm Movistar, Orange, Vodafone, Digimobil và O2, đều báo cáo gặp sự cố sập mạng.

Lỗ hổng SSO nghiêm trọng của Samlify

Ngày 20/5, một lỗ hổng xác thực Samlify quan trọng đã được các nhà nghiên cứu của công ty an ninh mạng EndorLabs (Hoa Kỳ) phát hiện, cho phép kẻ tấn công mạo danh người dùng quản trị bằng cách đưa các xác nhận độc hại vào các response SAML đã được ký số hợp lệ. Lỗ hổng này được gắn mã định danh CVE-2025-47949 (điểm CVSS v4.0: 9.9) ảnh hưởng đến tất cả các phiên bản Samlify trước 2.10.0. Theo các nhà nghiên cứu, Samlify xác minh đúng rằng tài liệu XML cung cấp định danh của người dùng đã được ký. Tuy nhiên, nó vẫn tiếp tục đọc các Assertions (SAML Assertions chứa thông tin về người dùng, quyền truy cập và các thuộc tính khác) giả mạo từ một phần của XML không được ký. Kẻ tấn công nắm giữ response SAML đã ký số hợp lệ thông qua việc ngăn chặn hoặc metadata công khai có thể sửa đổi response đó để khai thác lỗ hổng trong thư viện và xác thực như một người dùng khác.

Ứng dụng Volkswagen bị tấn công mạng

Hãng sản xuất ô tô Đức Volkswagen gần đây đã vá các lỗ hổng trong ứng dụng My Volkswagen của mình. Các lỗ hổng này có thể cho phép kẻ tấn công đánh cắp thông tin của người dùng khác, bao gồm vị trí xe, tình trạng động cơ, số liệu thống kê nhiên liệu, áp suất lốp, cũng như thông tin cá nhân như địa chỉ nhà, số điện thoại, địa chỉ email, giấy phép lái xe và lịch sử dịch vụ. Volkswagen cho biết các vấn đề chỉ ảnh hưởng đến ứng dụng tại Ấn Độ và chỉ ra rằng không có bằng chứng nào về việc khai thác trong thực tế.

Dữ liệu của Chính phủ Hoa Kỳ bị đánh cắp trong vụ tấn công TeleMessage

Hãng tin Reuters cho biết tin nhắn trao đổi giữa nhiều quan chức Hoa Kỳ đã bị tin tặc ngăn chặn, tác nhân đe dọa này đã xâm nhập vào nền tảng TeleMessage được cựu cố vấn an ninh quốc gia của Trump là Mike Waltz và hơn 60 người dùng chính phủ khác sử dụng. Dữ liệu liên quan đến các thành viên của Cơ quan Mật vụ, quan chức hải quan, ứng phó thảm họa, nhân viên ngoại giao Hoa Kỳ và ít nhất một nhân viên Nhà Trắng.

Trình cài đặt RVTools bị nhiễm Trojan

Một phiên bản Trojan của trình cài đặt RVTools, được phân phối thông qua một tên miền bị chiếm đoạt, đã bị phát hiện đang phân phối phần mềm độc hại Bumblebee cho người dùng. Tên miền này mạo danh trang web của công cụ hợp lệ, sử dụng TLD .org thay vì .com. Các báo cáo về trình cài đặt độc hại lần đầu tiên xuất hiện vào giữa tháng 5 và Robware đã tạm thời đưa các trang web chính thức của công cụ, cụ thể là Robware.net và RVTools.com vào trạng thái ngoại tuyến, cảnh báo người dùng không tải RVTools từ bất kỳ trang web nào khác.

Lỗ hổng prompt injection từ xa trên GitLab Duo

Hãng bảo mật Legit Security (Hoa Kỳ) cho biết lỗ hổng prompt injection từ xa trong AI-native GitLab assistant GitLab Duo có thể cho phép kẻ tấn công thao túng các code gợi ý được hiển thị cho người dùng khác, từ đó tiêm code HTML không đáng tin cậy vào kho lưu trữ, đánh cắp mã nguồn từ các project riêng tư và khai thác các lỗ hổng zero-day chưa được tiết lộ thông qua tính năng trò chuyện của bot. Hiện GitLab đã khắc phục lỗi bảo mật này.

Lỗ hổng Ivanti EPMM bị tin tặc Trung Quốc khai thác

Các tin tặc Trung Quốc đã khai thác lỗ hổng thực thi mã từ xa trong Ivanti Endpoint Manager Mobile (EPMM) để xâm nhập vào các tổ chức lớn trên toàn thế giới. Lỗ hổng này được gắn mã theo dõi CVE-2025-4428 và được đánh giá ở mức độ nghiêm trọng cao. Lỗ hổng có thể bị khai thác để thực thi mã từ xa trên Ivanti EPMM phiên bản 12.5.0.0 trở về trước thông qua các request API được thiết kế đặc biệt.

Ngày 21/5, nhà nghiên cứu Arda Büyükkaya đến từ nhà cung cấp tình báo mối đe dọa EclecticIQ (Hà Lan) đã báo cáo rằng đã phát hiện lỗ hổng CVE-2025-4428 bị khai thác rộng rãi trong tự nhiên kể từ ngày 15/5 và đứng sau là các tin tặc UNC5221 thực hiện.

Tin tặc sử dụng ứng dụng Ledger giả mạo để đánh cắp seed phrase của người dùng Mac

Các tác nhân đe dọa đang sử dụng các ứng dụng Ledger giả mạo để nhắm vào người dùng macOS và tài sản kỹ thuật số của họ, bằng cách triển khai phần mềm độc hại nhằm đánh cắp seed phrase bảo vệ quyền truy cập vào ví tiền điện tử kỹ thuật số. Ledger là ví phần cứng phổ biến được thiết kế để lưu trữ tiền điện tử ngoại tuyến (lưu trữ lạnh) và theo cách an toàn. Một seed phrase là một tập hợp gồm 12 hoặc 24 từ ngẫu nhiên cho phép phục hồi tài sản kỹ thuật số nếu ví bị mất hoặc quên mật khẩu truy cập. Do đó, nó được lưu trữ ngoại tuyến và riêng tư.

Các nhà nghiên cứu của công ty an ninh mạng Moonlock (Ukraine) cho biết, ứng dụng độc hại giả mạo ứng dụng Ledger để đánh lừa người dùng nhập cụm từ gốc của họ vào trang lừa đảo. Moonlock Lab đã theo dõi các cuộc tấn công này kể từ tháng 8/2024, khi các bản sao ứng dụng chỉ có thể đánh cắp mật khẩu, ghi chú và thông tin chi tiết về ví để có được cái nhìn thoáng qua về tài sản trong ví.

Video TikTok phân phối phần mềm độc hại đánh cắp thông tin trong các cuộc tấn công ClickFix

Mới đây, các nhà nghiên cứu của hãng bảo mật Trend Micro cho biết, tội phạm mạng đang sử dụng video TikTok để đánh lừa người dùng tự lây nhiễm phần mềm độc hại đánh cắp thông tin Vidar và StealC trong các cuộc tấn công ClickFix.

Theo Trend Micro, những kẻ đe dọa đằng sau chiến dịch tấn công kỹ nghệ xã hội TikTok này đang sử dụng các video có khả năng được tạo bằng trí tuệ nhân tạo (AI), yêu cầu người xem chạy các lệnh tự nhận là kích hoạt Windows và Microsoft Office, cũng như các tính năng cao cấp trong nhiều phần mềm hợp pháp như CapCut và Spotify.

Trend Micro cho biết: “Cuộc tấn công này sử dụng video (có thể do AI tạo ra) để hướng dẫn người dùng thực hiện lệnh PowerShell, được ngụy trang thành các bước kích hoạt phần mềm. Phạm vi tiếp cận thuật toán của TikTok làm tăng khả năng tiếp xúc rộng rãi, với một video đạt hơn nửa triệu lượt xem”.

FBI cảnh báo về các cuộc tấn công mã độc tống tiền Silent Ransom Group nhắm vào các công ty luật

Cục Điều tra Liên bang Hoa Kỳ (FBI) vừa qua đã lên tiếng cảnh báo rằng một băng nhóm mã độc tống tiền có tên là Silent Ransom Group đã nhắm vào các công ty luật Hoa Kỳ trong hai năm qua, bằng các cuộc tấn công lừa đảo qua điện thoại và kỹ nghệ xã hội. Còn được gọi là Luna Moth, Chatty Spider và UNC3753, nhóm tin tặc này đã hoạt động từ năm 2022 và cũng đứng sau các chiến dịch BazarCall cung cấp quyền truy cập ban đầu để tấn công bằng mã độc tống tiền Ryuk và Conti.

Trước đó, vào tháng 3/2022, sau khi Conti bị đánh sập, các tác nhân đe dọa đã tách khỏi tổ chức tội phạm mạng này và thành lập một nhóm khác có tên là Silent Ransom Group (SRG).

Tin tặc đánh cắp 223 triệu USD trong cuộc tấn công đánh cắp tiền điện tử Cetus Protocol

Sàn giao dịch phi tập trung Cetus Protocol thông báo rằng tin tặc đã đánh cắp 223 triệu USD tiền điện tử và đang đưa ra thỏa thuận dừng mọi hành động pháp lý nếu số tiền được trả lại. Cetus Protocol cũng tuyên bố sẽ thưởng 5 triệu USD cho bất kỳ ai cung cấp thông tin có liên quan giúp xác định và bắt giữ kẻ tấn công. Được biết, Cetus Protocol là một giao thức thanh khoản và trao đổi phi tập trung (DEX) hoạt động trên Blockchain Sui và Aptos.

Hàng chục gói độc hại trên NPM thu thập dữ liệu máy chủ và mạng

Theo các nhà nghiên cứu đến từ hãng bảo mật Socket (Hoa Kỳ), 60 gói đã được phát hiện trong chỉ mục NPM có mục đích thu thập dữ liệu máy chủ và mạng nhạy cảm, sau đó gửi thông tin đến webhook Discord do kẻ tấn công kiểm soát. Các nhà nghiên cứu cho biết, các gói đã được tải lên kho lưu trữ NPM bắt đầu từ ngày 12/5 từ ba tài khoản nhà xuất bản. Mỗi gói độc hại đều chứa một tập lệnh sau khi cài đặt, tự động thực thi trong quá trình “npm install” và thu thập các thông tin sau: Tên máy chủ; Địa chỉ IP nội bộ; Thư mục trang chủ của người dùng; Thư mục làm việc hiện tại; Tên người dùng; Hệ thống máy chủ DNS.

Tập lệnh này kiểm tra tên máy chủ liên quan đến nhà cung cấp dịch vụ đám mây, đảo ngược chuỗi DNS để xác định xem tập lệnh có đang chạy trong môi trường phân tích hay không. Socket không phát hiện việc phân phối payload giai đoạn hai, leo thang đặc quyền hoặc bất kỳ cơ chế liên tục nào. Tuy nhiên, xét đến loại dữ liệu được thu thập, nguy cơ tấn công mạng có mục tiêu là rất lớn.

Cảnh báo về khai thác lỗ hổng Commvault

Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) cho biết, việc khai thác liên tục lỗ hổng bảo mật Commvault được xác định là lỗ hổng zero-day có thể là một phần của chiến dịch lớn chống lại các giải pháp phần mềm dưới dạng dịch vụ (SaaS).

Được theo dõi với tên gọi CVE-2025-3928 (điểm CVSS: 8,7), là lỗ hổng bảo mật cho phép kẻ tấn công từ xa tạo và thực thi webshell, xâm phạm hoàn toàn các trường hợp dễ bị tấn công. Commvault đã sửa lỗi vào cuối tháng 02/2025, cảnh báo rằng họ đã biết được từ Microsoft rằng một tác nhân đe dọa được nhà nước tài trợ đã khai thác lỗ hổng này để tấn công vào môi trường Azure của họ. Vào cuối tháng 4, CISA đã thêm lỗ hổng vào danh mục KEV. Hiện tại, Commvault tiết lộ rằng hoạt động độc hại này chỉ ảnh hưởng đến một số ít khách hàng có chung với Microsoft, nhưng không liên quan đến việc truy cập trái phép vào các bản sao lưu của khách hàng được Commvault lưu trữ. Theo CISA, những kẻ tấn công có thể đã khai thác CVE-2025-3928 để truy cập vào thông tin của khách hàng sao lưu M365 của Commvault được lưu trữ trên Azure, dẫn đến truy cập trái phép vào hệ thống mục tiêu.