Tấn Công Chuỗi Cung Ứng [email protected]: Cần Làm Gì Ngay?

TÓM TẮT Vào ngày 30–31 tháng 3 năm 2026, các phiên bản axios 1.14.1 và 0.30.4 trên npm đã bị cài cắm phần phụ thuộc độc hại, cài đặt trojan truy cập từ xa (RAT) lên máy bị nhiễm. Cả hai phiên bản đã bị gỡ bỏ, phiên bản an toàn là 1.14.0. Nếu bạn từng cài [email protected] hoặc 0.30.4, hãy coi máy của mình đã bị xâm nhập và thay đổi toàn bộ thông tin xác thực ngay lập tức. Dùng thử Apidog ngay hôm nay Axios là gì và tại sao điều này lại quan trọng axios đạt 100 triệu lượt tải mỗi tuần trên npm. Đây là HTTP client phổ biến cho cả frontend framework, backend Node.js và ứng dụng doanh nghiệp. Khi một gói nền tảng như vậy bị xâm phạm, phạm vi ảnh hưởng rất lớn — chỉ cần chạy npm install trong khung thời gian 30–31/3 là đã có thể vô tình cài phần mềm độc hại. Đây là một rủi ro chuỗi cung ứng thực tế, không phải lý thuyết: trojan đa giai đoạn này cho phép thực thi lệnh tùy ý, đánh cắp dữ liệu hệ thống và duy trì hoạt động trên máy nhiễm. Nếu đội nhóm bạn dùng axios, và bạn dùng Apidog để thiết kế/